👻 Как найти и обезвредить вредоносного призрака с помощью MaxPatrol EDR GHOSTENGINE, или, как его еще называют, HIDDENSHOVEL, — новое вредоносное ПО, обнаруженное в мае этого года. Злоумышленники используют его для установки и запуска майнера XMRig на устройствах. Примечательно то, какие техники используют атакующие на различных этапах доставки этого вредоносного ПО. Среди них — модуль kill.png, который может завершать процессы установленных средств защиты. Вот, как начинается цепочка заражения: 1⃣ Пользователь запускает вредоносный файл с именем TiWorker.exe. 2⃣ Этот файл маскируется под легитимный системный процесс, отвечающий за установку модулей Windows и обновлений ОС. 3⃣ Вредоносный процесс TiWorker запускает PowerShell и скачивает с С2‑сервера модули для дальнейших стадий атаки. Один из них — kill.png. 🔦 Наш продукт MaxPatrol EDR для защиты конечных устройств обнаруживает Ghostengine на самом раннем этапе заражения и реагирует на него в автоматическом режиме, удаляя вредоносное ПО с устройств. Детальный разбор «призрака» и подробности о том, как MaxPatrol EDR его детектирует, — на Хабре, в материале Виталия Самаля, старшего специалиста отдела обнаружения ВПО экспертного центра безопасности Positive Technologies (@ptescalator). Внутри статьи — полный список из 1661 процесса в распакованном модуле kill.png, которые ВПО принудительно завершает для уклонения от обнаружения. Читать статью на Хабре: https://vk.cc/cye5Lu #MaxPatrolEDR