Согласно анализу Talos Intelligence от Cisco, хакеры используют инструмент Windows для удаления вредоносного ПО для майнинга криптовалют с ноября 2021 года. Злоумышленник использует Windows Advanced Installer — приложение, которое помогает разработчикам упаковывать другие установщики программного обеспечения, такие как Adobe Illustrator, — для выполнения вредоносных сценариев на зараженных машинах.
Согласно сообщению в блоге от 7 сентября, установщики программного обеспечения, пострадавшие от атаки, в основном используются для 3D-моделирования и графического дизайна. Кроме того, большинство установщиков программного обеспечения, использованных в кампании по распространению вредоносного ПО, написаны на французском языке. Результаты показывают, что «жертвы, вероятно, находятся в разных сферах бизнеса, включая архитектуру, проектирование, строительство, производство и развлечения в странах с доминированием французского языка», – поясняется в анализе.
Атаки в основном затрагивают пользователей во Франции и Швейцарии, а также несколько заражений в других странах, включая США, Канаду, Алжир, Швецию, Германию, Тунис, Мадагаскар, Сингапур и Вьетнам.хост управления и контроля злоумышленника (C2).
Кампания по незаконному майнингу криптовалюты, выявленная Talos, включает в себя развертывание вредоносных пакетных сценариев PowerShell и Windows для выполнения команд и установки бэкдора на компьютере жертвы. В частности, PowerShell хорошо известен тем, что работает в памяти системы, а не на жестком диске, что затрудняет выявление атаки.
После установки бэкдора злоумышленник запускает дополнительные угрозы, такие как программа майнинга криптовалюты Ethereum PhoenixMiner и lolMiner, угроза майнинга нескольких монет.
«Эти вредоносные сценарии выполняются с использованием функции Custom Action Advanced Installer, которая позволяет пользователям заранее определять задачи пользовательской установки. Конечными полезными нагрузками являются PhoenixMiner и lolMiner, общедоступные майнеры, использующие возможности графического процессора компьютеров».
Использование вредоносного ПО для майнинга криптовалюты известно как криптоджекинг и предполагает установку кода майнинга криптовалюты на устройство без ведома или разрешения пользователя с целью незаконного майнинга криптовалют. Признаками того, что на компьютере может быть запущено вредоносное ПО для майнинга, являются перегрев и низкая производительность устройств.
Использование семейств вредоносных программ для взлома устройств с целью майнинга или кражи криптовалют — не новая практика. Бывший гигант смартфонов BlackBerry недавно обнаружил вредоносные сценарии, активно нацеленные как минимум на три сектора, включая финансовые услуги, здравоохранение и правительство.
