Sinds november 2021 maken cybercriminelen misbruik van een Windows-hulpprogramma om crypto mining malware te verspreiden, zoals gedetailleerd in een rapport van Cisco’s Talos Intelligence. De daders manipuleren de Windows Advanced Installer, een programma dat softwareontwikkelaars helpt bij het bundelen van andere software-installatieprogramma’s, zoals Adobe Illustrator, om kwaadaardige scripts uit te voeren op gecompromitteerde systemen.
De Getroffen Software en de Slachtoffers
De getroffen software-installatieprogramma’s worden voornamelijk gebruikt voor 3D-modellering en grafisch ontwerp. De meeste software-installatieprogramma’s die in deze malwarecampagne worden gebruikt, zijn geschreven in het Frans, wat erop wijst dat de slachtoffers waarschijnlijk afkomstig zijn uit verschillende bedrijfssectoren, zoals architectuur, engineering, bouw, productie en entertainment in Franstalige landen. Uit de analyse blijkt dat gebruikers in Frankrijk en Zwitserland het meest worden getroffen, met enkele gevallen in andere landen, waaronder de Verenigde Staten, Canada, Algerije, Zweden, Duitsland, Tunesië, Madagaskar, Singapore en Vietnam.
Het Modus Operandi
De rogue crypto mining-operatie die door Talos is geïdentificeerd, implementeert schadelijke PowerShell- en Windows-batchscripts om commando’s uit te voeren en een achterdeur te openen op de machine van het slachtoffer. Met name PowerShell staat erom bekend te werken in het geheugen van het systeem in plaats van op de harde schijf, waardoor het moeilijker is om een aanval te detecteren.
Nadat de achterdeur is geïnstalleerd, start de aanvaller aanvullende bedreigingen zoals het Ethereum crypto-mining-programma PhoenixMiner en lolMiner, een multi-coin mining-dreiging. Deze kwaadaardige scripts worden uitgevoerd met behulp van de Custom Action-functie van de Advanced Installer, waarmee gebruikers aangepaste installatietaken kunnen vooraf definiëren. De uiteindelijke payloads zijn PhoenixMiner en lolMiner, die openbaar beschikbare miners zijn die gebruikmaken van de GPU-capaciteiten van computers.
Het Fenomeen van Cryptojacking
Het gebruik van crypto mining malware wordt cryptojacking genoemd. Het houdt in dat stiekem een crypto mining-code op een apparaat wordt geïnstalleerd zonder de toestemming van de gebruiker om heimelijk cryptocurrencies te minen. Aanwijzingen dat er mining malware actief kan zijn op een apparaat zijn oververhitting en slechte prestaties van het apparaat. Het gebruik van malwarefamilies om apparaten te kapen om cryptocurrencies te minen of te stelen, is geen nieuwigheid. BlackBerry, de voormalige smartphonegigant, heeft onlangs ontdekt dat malware-scripts actief gericht zijn op ten minste drie sectoren, waaronder financiële dienstverlening, gezondheidszorg en overheid.
In het licht van deze opkomende dreigingen is het cruciaal om op de hoogte te blijven en preventieve maatregelen te nemen. Een manier om dit te doen is door gebruik te maken van platforms zoals cryptoview.io, die waardevolle inzichten bieden in de cryptomarkt en gebruikers kunnen helpen op de hoogte te blijven van mogelijke risico’s.
oproep tot actie tekstOnthoud, de digitale wereld zit vol potentiële bedreigingen. Blijf waakzaam, blijf op de hoogte en, het allerbelangrijkste, blijf veilig.
