Der schädliche Download ist ein ZIP-Archiv, das auf einer Subdomain von gleeze[.]com gehostet wird – einer Domain, die in der Vergangenheit bereits im Zusammenhang mit Phishing-Websites auffiel. Laut Microsoft enthält das Archiv die legitime ausführbare Datei des jeweiligen Dienstprogramms sowie eine bösartige DLL, die beim Start der harmlosen Binärdatei automatisch geladen wird.
Diese DLL nutzt msiexec.exe, um vcredist_x64.dll zu installieren – ein Paketinstallationsprogramm für das Fernwartungswerkzeug ScreenConnect. Nachdem eine ScreenConnect-Sitzung mit dem kompromittierten Client aufgebaut ist, legt der Angreifer eine weitere Binärdatei namens SimpleRunPE.exe ab, die sich als RuntimeHost.exe in einen im Explorer versteckten Ordner kopiert. Diese Datei richtet nach Angaben der Forscher sechs Persistenzmechanismen an verschiedenen Windows-Autostart-Orten ein. In einigen Fällen wird die Binärdatei über ein bösartiges PowerShell-Skript abgelegt und lokal als vlc.exe gespeichert, um die ausführbare Datei des verbreiteten VideoLAN-Players zu imitieren.
Anhand des PDB-Pfads (Program Database) von SimpleRunPE.exe gehen die Forscher davon aus, dass es sich um eine Abspaltung eines öffentlichen Repositorys handelt, das die Technik des Process Hollowing demonstriert. Diese Technik setzt der Angreifer zur Tarnung ein und versucht, sich in legitime, von Microsoft signierte .NET-Binärdateien einzuschleusen – darunter InstallUtil.exe, RegAsm.exe, RegSvcs.exe, MSBuild.exe, AppLaunch.exe, AddInProcess.exe und aspnet_compiler.exe.
Zur Tarnung ruft die Schadsoftware außerdem PowerShell auf, um ihren Pfad und Prozess der Ausschlussliste von Microsoft Defender hinzuzufügen. Zusätzlich prüft sie die Umgebung auf virtuelle Maschinen sowie auf 40 Prozessnamen, die zu Analysewerkzeugen gehören. Wird eines davon erkannt, beendet sich die Schadsoftware selbst.
Erst nachdem das Process Hollowing abgeschlossen ist und die Schadsoftware innerhalb eines von Microsoft signierten Windows-Dienstprogramms läuft, wird eines von drei Mining-Modulen heruntergeladen und ausgeführt. Unterstützt werden gminer, lolMiner und SRBMiner-MULTI – allesamt darauf ausgelegt, Grafikprozessoren (GPUs) zu nutzen.
Microsoft betont, dass diese Kampagne durch ihre Ausrichtung und Monetarisierungsstrategie heraussticht, die von Grund auf darauf ausgelegt sei, den GPU-Mining-Ertrag pro kompromittiertem Gerät zu maximieren, statt auf Masse zu setzen. Neben den Schutzmechanismen von Microsofts eigenen Werkzeugen können Organisationen ihre Umgebungen anhand der im Bericht enthaltenen Kompromittierungsindikatoren absichern.
