Od listopada 2021 roku cyberprzestępcy wykorzystują narzędzie systemu Windows do rozpowszechniania malware’u do krypto-koparek, jak opisano w raporcie firmy Cisco’s Talos Intelligence. Przestępcy manipulują programem Windows Advanced Installer, który pomaga programistom w pakowaniu innych instalatorów oprogramowania, takich jak Adobe Illustrator, w celu uruchamiania złośliwych skryptów na zainfekowanych systemach.
Oprogramowanie docelowe i ofiary
Instalatory oprogramowania dotknięte tym atakiem są głównie używane do modelowania 3D i projektowania graficznego. Większość instalatorów oprogramowania wykorzystywanych w tej kampanii malware jest napisana w języku francuskim, co wskazuje, że ofiarami są prawdopodobnie osoby z różnych sektorów biznesowych, takich jak architektura, inżynieria, budownictwo, produkcja i rozrywka w krajach francuskojęzycznych. Analiza wskazuje, że najbardziej dotknięte są osoby we Francji i w Szwajcarii, z kilkoma przypadkami w innych krajach, w tym w Stanach Zjednoczonych, Kanadzie, Algierii, Szwecji, Niemczech, Tunezji, Madagaskarze, Singapurze i Wietnamie.
Modus Operandi
Identyfikowana przez Talos działalność krypto-koparek wrogów polega na wykorzystaniu szkodliwych skryptów PowerShell i Windows batch do wykonania poleceń i utworzenia tylnych drzwi w komputerze ofiary. PowerShell, w szczególności, jest znany z działania w pamięci systemu, a nie na dysku twardym, co czyni go trudniejszym do wykrycia w przypadku ataku.
Po zainstalowaniu tylnych drzwi atakujący uruchamiają dodatkowe zagrożenia, takie jak program krypto-koparek Ethereum PhoenixMiner i zagrożenie wielokrotnego kopania lolMiner. Te złośliwe skrypty są wykonywane przy użyciu funkcji niestandardowego działania Advanced Installer, która umożliwia użytkownikom zdefiniowanie niestandardowych zadań instalacyjnych. Ostateczne ładunki to PhoenixMiner i lolMiner, które są publicznie dostępnymi krypto-koparkami wykorzystującymi możliwości GPU komputerów.
Zjawisko krypto-wyłudzania
Działanie wykorzystywania malware’u do krypto-koparek nazywane jest krypto-wyłudzaniem. Polega ono na tajnym instalowaniu kodu krypto-koparek na urządzeniu bez zgody użytkownika w celu nielegalnego wydobywania kryptowalut. Wskazaniem na działanie malware’u krypto-koparek na urządzeniu są przegrzewające się i niewydajne urządzenia. Praktyka wykorzystywania rodzin malware’u do przejmowania urządzeń w celu wydobywania lub kradzieży kryptowalut nie jest nowością. BlackBerry, były gigant telefonów komórkowych, niedawno odkrył aktywne skrypty malware’u, które celowo atakowały co najmniej trzy sektory, w tym usługi finansowe, opiekę zdrowotną i sektor rządowy.
W obliczu tych nowych zagrożeń ważne jest, aby być na bieżąco i podjąć środki zapobiegawcze. Jednym ze sposobów na to jest korzystanie z platform takich jak cryptoview.io, które dostarczają wartościowych informacji na temat rynku kryptowalut i mogą pomóc użytkownikom być na bieżąco z potencjalnymi zagrożeniami.
tekst zachętyPamiętaj, że cyfrowy świat jest pełen potencjalnych zagrożeń. Bądź czujny, bądź na bieżąco i przede wszystkim bądź bezpieczny.
