С ноября 2021 года киберпреступники используют Windows утилиту для распространения вредоносного ПО для майнинга криптовалюты, как указано в докладе Talos Intelligence компании Cisco. Злоумышленники манипулируют программой Windows Advanced Installer, которая помогает разработчикам программного обеспечения объединять другие программные установщики, такие как Adobe Illustrator, для выполнения вредоносных скриптов на скомпрометированных системах.
Целевое программное обеспечение и жертвы
Атака затрагивает программные установщики, которые преимущественно используются для трехмерного моделирования и графического дизайна. Большинство программных установщиков, используемых в этой кампании вредоносного ПО, написаны на французском языке, что указывает на то, что жертвами могут быть предприятия из различных секторов бизнеса, таких как архитектура, инженерное дело, строительство, производство и развлечения во франкоязычных странах. Анализ показывает, что пользователи Франции и Швейцарии наиболее подвержены атаке, а также имеются случаи в других странах, включая Соединенные Штаты, Канаду, Алжир, Швецию, Германию, Тунис, Мадагаскар, Сингапур и Вьетнам.
Модус операнди
Выявленная Talos незаконная майнинговая операция использует вредоносные сценарии PowerShell и пакетные сценарии Windows для выполнения команд и установки задней двери на компьютере жертвы. PowerShell, в частности, известен тем, что работает в памяти системы, а не на жестком диске, что делает обнаружение атаки более сложным.
После установки задней двери злоумышленник запускает дополнительные угрозы, такие как майнер Ethereum PhoenixMiner и майнер различных криптовалют lolMiner. Эти вредоносные сценарии выполняются с помощью функции пользовательских действий Advanced Installer, которая позволяет пользователям предопределить пользовательские задачи установки. Конечными нагрузками являются PhoenixMiner и lolMiner, которые являются общедоступными майнерами, использующими возможности графического процессора компьютера.
Феномен криптоджекинга
Применение вредоносного ПО для майнинга криптовалюты называется криптоджекингом. Оно заключается в тайной установке кода майнинга криптовалюты на устройстве без согласия пользователя с целью незаконного майнинга криптовалюты. Признаки того, что на устройстве может работать вредоносное ПО для майнинга, включают перегрев и низкую производительность устройств. Практика использования семейств вредоносного ПО для захвата устройств для майнинга или кражи криптовалюты не является новинкой. BlackBerry, бывший гигант смартфонов, недавно обнаружил вредоносные сценарии, активно нацеливающиеся, по меньшей мере, на три сектора, включая финансовые услуги, здравоохранение и правительство.
В свете этих новых угроз крайне важно быть информированным и принимать предупредительные меры. Один из способов сделать это — использовать платформы, такие как cryptoview.io, которые предоставляют ценные инсайты на рынок криптовалюты и могут помочь пользователям быть в курсе потенциальных рисков.
