自2021年11月以来,黑客一直在利用Windows实用工具传播加密货币挖矿恶意软件,正如思科的Talos情报报告中所详细描述的那样。恶意分子操纵Windows高级安装程序,这是一款帮助软件开发人员捆绑其他软件安装程序(如Adobe Illustrator)以在受攻击系统上执行恶意脚本的程序。
受攻击的软件和受害者
此次攻击受影响的软件安装程序主要用于3D建模和图形设计。在此恶意软件活动中使用的大部分软件安装程序都是用法语编写的,这表明受害者很可能来自各个业务领域,如建筑、工程、建筑、制造和法语国家的娱乐业。分析表明,法国和瑞士的用户受影响最多,其他国家也有少数案例,包括美国、加拿大、阿尔及利亚、瑞典、德国、突尼斯、马达加斯加、新加坡和越南。
作案手法
Talos发现的这个恶意加密货币挖矿操作利用有害的PowerShell和Windows批处理脚本来执行命令并在受害者的计算机上建立后门。特别是PowerShell,因为它通常在系统内存中运行而不是硬盘上,使得检测攻击更加困难。
在安装了后门之后,攻击者会启动其他威胁,例如以太坊加密货币挖矿程序PhoenixMiner和多币种挖矿威胁lolMiner。这些恶意脚本使用高级安装程序的自定义操作功能执行,该功能允许用户预定义自定义安装任务。最终的有效载荷是PhoenixMiner和lolMiner,它们是公开可用的挖矿软件,利用计算机的GPU能力进行挖矿。
加密挖矿的现象
使用加密货币挖矿恶意软件的行为被称为加密挖矿。它涉及在设备上秘密安装加密挖矿代码,而不经用户同意,以非法挖掘加密货币。设备上可能存在挖矿恶意软件的迹象包括过热和性能下降。使用恶意软件家族劫持设备进行挖矿或窃取加密货币的做法并不新鲜。前智能手机巨头黑莓最近发现了针对金融服务、医疗保健和政府等至少三个行业的恶意软件脚本。
鉴于这些新兴威胁,保持警惕并采取预防措施非常重要。一个方法是使用像cryptoview.io这样的平台,它提供有关加密市场的有价值的见解,可以帮助用户及时了解潜在风险。
行动号召文本请记住,数字世界充满潜在威胁。保持警惕,保持了解,最重要的是保持安全。
