Згідно з аналізом Cisco Talos Intelligence, хакери використовували інструмент Windows для видалення зловмисного програмного забезпечення для майнінгу криптовалюти з листопада 2021 року. Зловмисник використовує Windows Advanced Installer — програму, яка допомагає розробникам пакувати інсталятори іншого програмного забезпечення, наприклад Adobe Illustrator — для виконання шкідливих сценаріїв на заражених машинах.
Відповідно до повідомлення в блозі від 7 вересня, інсталятори програмного забезпечення, які постраждали від атаки, в основному використовуються для 3D-моделювання та графічного дизайну. Крім того, більшість інсталяторів програмного забезпечення, які використовуються в кампанії шкідливих програм, написані французькою мовою. Отримані дані свідчать про те, що «жертви, ймовірно, є різними бізнес-вертикалями, включаючи архітектуру, інженерію, будівництво, виробництво та розваги в країнах, де домінує французька мова», — пояснюється в аналізі.
Атаки в основному стосуються користувачів у Франції та Швейцарії, кілька заражень в інших країнах, включаючи Сполучені Штати, Канаду, Алжир, Швецію, Німеччину, Туніс, Мадагаскар, Сінгапур і В’єтнам, повідомляється на основі даних запиту DNS, надісланих докомандно-контрольний (C2) хост зловмисника.
Кампанія незаконного майнінгу криптовалюти, виявлена Talos, передбачає розгортання шкідливих пакетних сценаріїв PowerShell і Windows для виконання команд і встановлення бекдору на комп’ютері жертви. Зокрема, PowerShell добре відомий тим, що працює в пам’яті системи замість жорсткого диска, що ускладнює виявлення атаки.
Після встановлення бекдора зловмисник запускає додаткові загрози, такі як програма для майнінгу криптовалют Ethereum PhoenixMiner і lolMiner, загроза для видобутку кількох монет.
«Ці шкідливі сценарії виконуються за допомогою функції спеціальних дій Advanced Installer, яка дозволяє користувачам заздалегідь визначати спеціальні завдання встановлення. Остаточними корисними навантаженнями є PhoenixMiner і lolMiner, загальнодоступні майнери, які покладаються на можливості GPU комп’ютера».
Використання зловмисного програмного забезпечення для видобутку криптовалюти відоме як криптоджекінг і передбачає встановлення коду для видобутку криптовалюти на пристрій без відома або дозволу користувача з метою незаконного видобутку криптовалюти. Ознаками того, що на машині може бути запущено зловмисне програмне забезпечення для майнінгу, є перегрів і погана робота пристроїв.
Використання сімейства зловмисних програм для викрадення пристроїв для майнінгу або викрадення криптовалюти не є новою практикою. Колишній гігант смартфонів BlackBerry нещодавно виявив сценарії зловмисного програмного забезпечення, які активно націлені щонайменше на три сектори, включаючи фінансові послуги, охорону здоров’я та уряд.
