Sedan november 2021 har cyberbrottslingar utnyttjat ett Windows-verktyg för att distribuera krypto mining-malware, som beskrivs i en rapport från Cisco’s Talos Intelligence. Angriparna manipulerar Windows Advanced Installer, ett program som hjälper mjukvaruutvecklare att bunta ihop andra mjukvaruinstallatörer, som Adobe Illustrator, för att utföra skadliga skript på komprometterade system.
Den målinriktade mjukvaran och offren
De mjukvaruinstallatörer som påverkas av denna attack används främst för 3D-modellering och grafisk design. De flesta av mjukvaruinstallatörerna som används i denna malware-kampanj är skrivna på franska, vilket tyder på att offren troligtvis kommer från olika affärssektorer, såsom arkitektur, ingenjörsvetenskap, byggbranschen, tillverkningsindustrin och underhållning i fransktalande länder. Analysen tyder på att användare i Frankrike och Schweiz påverkas mest, med några fall i andra länder, inklusive USA, Kanada, Algeriet, Sverige, Tyskland, Tunisien, Madagaskar, Singapore och Vietnam.
Modus Operandi
Den skadliga krypto mining-operation som Talos identifierat använder skadliga PowerShell- och Windows batch-skript för att utföra kommandon och etablera en bakdörr på offrets maskin. PowerShell är särskilt känt för att arbeta i systemets minne istället för på hårddisken, vilket gör det svårare att upptäcka en attack.
Efter installationen av bakdörren lanserar angriparen ytterligare hot som Ethereum krypto-mining-programmet PhoenixMiner och lolMiner, ett hot som kan mina flera kryptovalutor. Dessa skadliga skript körs med hjälp av Advanced Installers anpassade åtgärdsfunktion, som gör det möjligt för användare att fördefiniera anpassade installationsuppgifter. De slutgiltiga nyttolasterna är PhoenixMiner och lolMiner, som är allmänt tillgängliga miners som utnyttjar datorers GPU-funktioner.
Fenomenet Cryptojacking
Aktiviteten att använda krypto mining-malware kallas för cryptojacking. Det innebär att man i hemlighet installerar en krypto mining-kod på en enhet utan användarens samtycke för att olagligt bryta kryptovalutor. Indikationer på att mining-malware kan vara igång på en enhet inkluderar överhettning och prestandaproblem. Att använda malware för att ta över enheter för att bryta eller stjäla kryptovalutor är ingen nyhet. BlackBerry, den tidigare smartphonetillverkaren, upptäckte nyligen skadliga skript som aktivt riktade in sig på minst tre sektorer, inklusive finansiella tjänster, hälso- och sjukvård och regeringen.
Med tanke på dessa nya hot är det viktigt att hålla sig informerad och vidta förebyggande åtgärder. Ett sätt att göra detta är att använda plattformar som cryptoview.io, som ger värdefulla insikter i kryptomarknaden och kan hjälpa användare att hålla sig uppdaterade om potentiella risker.
Börja använda våra verktyg gratis nu.Kom ihåg, den digitala världen är full av potentiella hot. Var vaksam, håll dig informerad och framför allt, var säker.
