Seit November 2021 nutzen Cyberkriminelle ein Windows-Dienstprogramm, um Krypto Mining Malware zu verbreiten, wie in einem Bericht von Cisco’s Talos Intelligence detailliert beschrieben. Die Täter manipulieren den Windows Advanced Installer, ein Programm, das Softwareentwicklern hilft, andere Software-Installationsprogramme wie Adobe Illustrator zu bündeln, um bösartige Skripte auf kompromittierten Systemen auszuführen.
Die betroffene Software und die Opfer
Die von diesem Angriff betroffenen Software-Installationsprogramme werden hauptsächlich für 3D-Modellierung und Grafikdesign verwendet. Die meisten in dieser Malware-Kampagne verwendeten Software-Installationsprogramme sind in französischer Sprache verfasst, was darauf hindeutet, dass die Opfer wahrscheinlich aus verschiedenen Geschäftsbereichen stammen, wie z.B. Architektur, Ingenieurwesen, Bauwesen, Fertigung und Unterhaltung in französischsprachigen Ländern. Die Analyse legt nahe, dass Benutzer in Frankreich und der Schweiz am stärksten betroffen sind, mit einigen Fällen in anderen Ländern wie den Vereinigten Staaten, Kanada, Algerien, Schweden, Deutschland, Tunesien, Madagaskar, Singapur und Vietnam.
Das Vorgehen
Die von Talos identifizierte rogue Krypto Mining Operation setzt schädliche PowerShell- und Windows-Batch-Skripte ein, um Befehle auszuführen und eine Hintertür auf dem Rechner des Opfers einzurichten. Insbesondere PowerShell ist dafür bekannt, im Arbeitsspeicher des Systems anstatt auf der Festplatte zu arbeiten, was die Erkennung eines Angriffs erschwert.
Nach der Installation der Hintertür startet der Angreifer zusätzliche Bedrohungen wie das Ethereum Krypto-Mining-Programm PhoenixMiner und lolMiner, eine Multi-Coin-Mining-Bedrohung. Diese bösartigen Skripte werden mit der Custom-Action-Funktion des Advanced Installers ausgeführt, die es Benutzern ermöglicht, benutzerdefinierte Installationsaufgaben vorab festzulegen. Die endgültigen Payloads sind PhoenixMiner und lolMiner, die öffentlich verfügbare Miner sind, die die GPU-Fähigkeiten von Computern ausnutzen.
Das Phänomen des Cryptojacking
Der Einsatz von Krypto Mining Malware wird als Cryptojacking bezeichnet. Dabei wird heimlich ein Krypto Mining-Code auf einem Gerät installiert, ohne die Zustimmung des Benutzers, um illegal Kryptowährungen zu schürfen. Anzeichen dafür, dass Mining-Malware auf einem Gerät aktiv sein könnte, sind Überhitzung und schlechte Leistung des Geräts. Die Praxis, Malware-Familien einzusetzen, um Geräte zum Mining oder zum Diebstahl von Kryptowährungen zu kapern, ist keine Neuheit. BlackBerry, der ehemalige Smartphone-Riese, hat kürzlich Malware-Skripte entdeckt, die aktiv mindestens drei Sektoren angreifen, darunter Finanzdienstleistungen, Gesundheitswesen und Regierung.
Angesichts dieser neuen Bedrohungen ist es wichtig, informiert zu bleiben und präventive Maßnahmen zu ergreifen. Eine Möglichkeit, dies zu tun, besteht darin, Plattformen wie cryptoview.io zu nutzen, die wertvolle Einblicke in den Kryptomarkt bieten und Benutzern helfen können, potenzielle Risiken im Auge zu behalten.
Beginnen Sie jetzt kostenlos mit der Nutzung unserer Werkzeuge.Denken Sie daran, die digitale Welt ist voller potenzieller Bedrohungen. Bleiben Sie wachsam, bleiben Sie informiert und vor allem, bleiben Sie sicher.
