Tangerine Turkey VBS féreg kriptobányász kampányban

A Red Canary által Tangerine Turkey-nek elnevezett Visual Basic Script (VBS) féreg kriptobányász hasznos terhet szállít. Először 2024 novemberében figyelték meg ezt a tevékenységet. A Tangerine Turkey 2024. decemberében a 8. helyen állt a Red Canary 10 legnagyobb fenyegetést tartalmazó rangsorában, amellyel a 2025. januári, 2025-ös Intelligence Insights című kiadványában is foglalkozott a cég. A tevékenységcsoporttal kapcsolatos kutatások során kiderült, hogy kapcsolatban áll egy széles körben elterjedt – bár viszonylag kevéssé bejelentett – kriptobányász kampánnyal, amely még mindig tart, valószínűleg új kártevő-változatokkal.

Az USB-n keresztül terjesztett Tangerine Turkey féreg a printui DLL eltérítését használja a kriptobányász kártevők terjesztésére. A Red Canary Intelligence csapata a következő futtatási láncot figyelte meg:

1. Egy VBS-fájl egy USB-n lévő rootdir nevű mappából hajtódik végre; a fájl neve x-szel kezdődik, amelyet hat véletlenszerű számjegy követ, például: WScript.exe „D:\rootdir\x644291.vbs”.
2. A VBS fájlhoz hasonló elnevezésű BAT fájl, amelyet a wscript CMD child processen keresztül hajt végre, például: cmd.exe /c „D:\rootdir\x138621.bat”.
3. A C:\Windows \System32 nevű mappa létrehozása (szóközzel a ‘\Windows’ után).
4. Az xcopy segítségével a legitim printui.exe bináris állomány másolatát a legitim C:\Windows\System32 könyvtárból az újonnan létrehozott rosszindulatú C:\Windows \System32 könyvtárba helyezik át.
5. A C:\Windows \System32-ben létrehozott DAT és printui.dll fájlok DLL sideloading-hoz való felhasználása.

Forrás