Siden november 2021 har cyberkriminelle udnyttet et Windows-værktøj til at distribuere crypto mining malware, som beskrevet i en rapport fra Cisco’s Talos Intelligence. Gerningsmændene manipulerer Windows Advanced Installer, et program der hjælper softwareudviklere med at pakke andre software-installationsprogrammer, som f.eks. Adobe Illustrator, for at udføre ondsindede scripts på kompromitterede systemer.
Den berørte software og ofrene
De software-installationsprogrammer, der er berørt af dette angreb, bruges primært til 3D-modellering og grafisk design. De fleste af de software-installationsprogrammer, der anvendes i denne malware-kampagne, er skrevet på fransk, hvilket tyder på, at ofrene sandsynligvis er fra forskellige forretningssektorer, såsom arkitektur, ingeniørvirksomhed, byggeri, produktion og underholdning i fransktalende lande. Analysen tyder på, at brugere i Frankrig og Schweiz er hårdest ramt, med et par tilfælde i andre lande, herunder USA, Canada, Algeriet, Sverige, Tyskland, Tunesien, Madagaskar, Singapore og Vietnam.
Modus Operandi
Den falske crypto mining-operation, identificeret af Talos, udfører skadelige PowerShell- og Windows batch-scripts for at udføre kommandoer og etablere en bagdør på offerets maskine. PowerShell er især berygtet for at operere i systemets hukommelse i stedet for på harddisken, hvilket gør det sværere at opdage et angreb.
Efter installationen af bagdøren lancerer angriberen yderligere trusler som f.eks. Ethereum crypto-mining-programmet PhoenixMiner og lolMiner, en multi-coin mining-trussel. Disse ondsindede scripts udføres ved hjælp af Advanced Installers brugerdefinerede handling-funktion, der giver brugerne mulighed for at foruddefinere brugerdefinerede installationsopgaver. De endelige nyttelaster er PhoenixMiner og lolMiner, som er offentligt tilgængelige minere, der udnytter computeres GPU-kapacitet.
Fænomenet Cryptojacking
Brugen af crypto mining malware kaldes cryptojacking. Det involverer hemmelig installation af en crypto mining-kode på en enhed uden brugerens samtykke for at ulovligt mine cryptocurrencies. Indikationer på, at mining malware kan være aktiv på en enhed, inkluderer overophedning og underpræsterende enheder. Praksis med at bruge malware-familier til at kapre enheder for at mine eller stjæle cryptocurrencies er ikke ny. BlackBerry, den tidligere smartphone-gigant, opdagede for nylig ondsindede scripts, der aktivt målretter mindst tre sektorer, herunder finansielle tjenester, sundhedsvæsen og regeringen.
I lyset af disse nye trusler er det vigtigt at holde sig informeret og træffe forebyggende foranstaltninger. En måde at gøre dette på er ved at bruge platforme som cryptoview.io, der giver værdifulde indsigter i krypto-markedet og kan hjælpe brugerne med at være opdaterede om potentielle risici.
Start nu med at bruge vores værktøjer gratis.Husk, at den digitale verden er fyldt med potentielle trusler. Vær opmærksom, hold dig informeret, og vigtigst af alt, hold dig sikker.
