2021年11月以来、サイバー犯罪者はWindowsユーティリティを悪用して暗号マイニングマルウェアを配布しています。これはCiscoのTalos Intelligenceのレポートに詳しく記載されています。犯罪者はWindows Advanced Installerを操作し、Adobe Illustratorなどの他のソフトウェアインストーラーをバンドルするためのプログラムを、侵害されたシステム上で悪意のあるスクリプトを実行するために利用しています。
対象ソフトウェアと被害者
この攻撃の影響を受けるソフトウェアインストーラーは、主に3Dモデリングやグラフィックデザインに使用されています。このマルウェアキャンペーンで使用されるほとんどのソフトウェアインストーラーはフランス語で書かれており、被害者は建築、エンジニアリング、建設、製造、エンターテイメントなどのさまざまな業界のフランス語圏の人々である可能性が高いことを示しています。分析によると、フランスとスイスのユーザーが最も影響を受けており、アメリカ、カナダ、アルジェリア、スウェーデン、ドイツ、チュニジア、マダガスカル、シンガポール、ベトナムなどの他の国でも一部の事例が報告されています。
作戦の手口
Talosが特定した悪質な暗号マイニングオペレーションは、有害なPowerShellスクリプトとWindowsバッチスクリプトを展開して、被害者のマシンにバックドアを確立します。特にPowerShellはハードドライブではなくシステムのメモリで動作するため、攻撃を検出するのがより困難です。
バックドアのインストール後、攻撃者はEthereumの暗号マイニングプログラムPhoenixMinerや、マルチコインマイニングの脅威であるlolMinerなどの追加の脅威を起動します。これらの悪意のあるスクリプトはAdvanced Installerのカスタムアクション機能を使用して実行されます。この機能により、ユーザーはカスタムインストールタスクを事前に定義することができます。最終的なペイロードは、コンピュータのGPUの機能を悪用する公開されているマイニングソフトウェアであるPhoenixMinerとlolMinerです。
クリプトジャッキングの現象
暗号マイニングマルウェアの使用はクリプトジャッキングと呼ばれます。これは、ユーザーの同意なしにデバイスに暗号マイニングコードを密かにインストールし、暗号通貨を不正にマイニングする行為です。デバイスでマイニングマルウェアが動作している可能性のある兆候には、過熱や性能低下があります。マルウェアファミリーを使用してデバイスを乗っ取り、暗号通貨をマイニングしたり盗んだりする行為は新しいものではありません。元スマートフォン大手のBlackBerryは最近、金融サービス、医療、政府など少なくとも3つのセクターを対象とするマルウェアスクリプトを発見しました。
これら新興の脅威に対応するためには、情報を正しく把握し、予防策を講じることが重要です。cryptoview.ioなどのプラットフォームを使用することで、暗号市場に関する貴重な情報を得ることができ、潜在的なリスクについて把握することができます。
行動を起こすテキストデジタル世界には潜在的な脅威が溢れています。警戒し、情報を正しく把握し、最も重要なことは安全を確保することです。
