OneDrive może być nielegalnie używany do kopania kryptowalut!

OneDrive może być nielegalnie używany do kopania kryptowalut!

 Mateusz Miciński
Mateusz Miciński
15:30
07.10.2022
617 wyświetleń

Producent oprogramowania antywirusowego BitDefender odkrył, że usługa OneDrive od Microsoftu jest wykorzystywana przez grupę cyberprzestępców do celów cryptojackingu. Przestępcy modyfikowali bibliotekę DLL i wykorzystywali lukę w zabezpieczenia ładowania usługi OneDrive, tak aby wykorzystywać nasz komputer do kopania kryptowalut.

Infekcja OneDrive kryptowaluty

Według danych od BitDefender, atakujący stosował zainfekowany plik secure32.dll, aby zainfekować system potencjalnej ofiary. Plik ten był umieszczany w lokalizacji %LocalAppData%\Microsoft\OneDrive\, dzięki czemu ładuje się on wraz z własnymi procesem aplikacji OneDrive. Co więcej, aby zapewnić niezawodność cryptojackingu, usługa OneDrive została tak zainfekowana, aby proces OneDrive.exe uruchamiał się przy każdym ponownym włączeniu komputera. Szczegółowe wyjaśnienie od BitDefendera przedstawiamy poniżej:

Atakujący tworzą fałszywy plik secure32.dll i aplikują go do %LocalAppData%\Microsoft\OneDrive\ jako użytkownicy bez podwyższonych uprawnień. Biblioteka ta zostaje załadowana przez jeden z procesów OneDrive (OneDrive.exe lub OneDriveStandaloneUpdater.exe).
Osoby atakujące używają jednego z plików DLL usługi OneDrive, aby łatwo zachować niezawodność infekcji, ponieważ %LocalAppData%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe jest domyślnie uruchamiany przy rozruchu komputera.
Aby niezawodność była jeszcze większa, droppery fałszywego pliku secure32.dll ustawiają również plik %LocalAppData%\ Microsoft\OneDrive\OneDrive.exe tak, aby uruchamiał się przy każdym ponownym uruchomieniu komputera za pomocą rejestru systemu Windows.
Po załadowaniu jednego z procesów OneDrive, fałszywy plik secure32.dll pobiera oprogramowanie do kopania kryptowalut typu open source i wstrzykuje je do legalnych procesów systemu Windows.

W raporcie BitDefendera możemy znaleźć rekomendację, mówiącą, aby używać zawsze aktualnej wersji systemu Windows i aplikacji OneDrive. Unikajmy pobierania oprogramowania z nieznanych źródeł. Z kolei producent zaleca Microsoftowi, aby wydał stosowną aktualizację zapobiegającą pobocznego ładowania bibliotek DLL przez procesy główne.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://www.bitdefender.com/blog/labs/side-loading-onedrive-for-profit-cryptojacking-campaign-detected-in-the-wild/

Polecamy również w kategorii Bezpieczeństwo