Siden november 2021 har cyberkriminelle utnyttet et Windows-verktøy for å distribuere krypto mining malware, som beskrevet i en rapport fra Ciscos Talos Intelligence. Forbryterne manipulerer Windows Advanced Installer, et program som hjelper programvareutviklere med å samle andre programvareinstallatører, som Adobe Illustrator, for å utføre ondsinnede skript på kompromitterte systemer.
Den målrettede programvaren og ofrene
Programvareinstallatørene som er berørt av dette angrepet, brukes primært til 3D-modellering og grafisk design. De fleste programvareinstallatørene som brukes i denne malware-kampanjen er skrevet på fransk, noe som tyder på at ofrene sannsynligvis kommer fra ulike næringer, som arkitektur, ingeniørvirksomhet, bygg, produksjon og underholdning i fransktalende land. Analysen antyder at brukere i Frankrike og Sveits er mest berørt, med noen tilfeller i andre land, inkludert USA, Canada, Algerie, Sverige, Tyskland, Tunisia, Madagaskar, Singapore og Vietnam.
Modus Operandi
Den skadelige krypto mining-operasjonen identifisert av Talos bruker skadelige PowerShell- og Windows-batchskript for å utføre kommandoer og etablere en bakdør på offerets maskin. PowerShell er spesielt kjent for å operere i systemets minne i stedet for på harddisken, noe som gjør det vanskeligere å oppdage et angrep.
Ved installasjon av bakdøren starter angriperen ytterligere trusler, som Ethereum-krypto mining-programmet PhoenixMiner og lolMiner, en trussel for multi-coin mining. Disse skadelige skriptene blir utført ved hjelp av Advanced Installers Custom Action-funksjon, som lar brukerne forhåndsdefinere tilpassede installasjonsoppgaver. De endelige nyttelastene er PhoenixMiner og lolMiner, som er offentlig tilgjengelige miners som utnytter datamaskiners GPU-ytelse.
Fenomenet med Cryptojacking
Handlingen med å bruke krypto mining malware kalles cryptojacking. Det innebærer å hemmelig installere en krypto mining-kode på en enhet uten brukerens samtykke for å ulovlig mine kryptovalutaer. Indikasjoner på at mining malware kan være aktiv på en enhet inkluderer overoppheting og dårlig ytelse. Praksisen med å bruke malware-familier for å kapre enheter for å mine eller stjele kryptovalutaer er ikke noe nytt. BlackBerry, den tidligere smarttelefongiganten, oppdaget nylig skadelige skript som aktivt retter seg mot minst tre sektorer, inkludert finansielle tjenester, helsevesen og regjeringen.
I lys av disse nye truslene er det viktig å holde seg informert og ta forebyggende tiltak. En måte å gjøre dette på er å bruke plattformer som cryptoview.io, som gir verdifulle innsikter i kryptomarkedet og kan hjelpe brukere med å være oppdatert på potensielle risikoer.
Begynn å bruke våre verktøy gratis nå.Husk, den digitale verden er full av potensielle trusler. Vær årvåken, hold deg oppdatert og, viktigst av alt, vær trygg.
