Hacker nutzen Windows-Tool aus, um weltweit Kryptowährungs-Mining-Malware zu verbreiten.
Summary:
Seit November 2021 infizieren Hacker Maschinen mit Kryptowährungs-Malware über ein Windows-Tool namens Advanced Installer. Die Angreifer nutzen das Tool aus, um bösartige Skripte auf gezielten Geräten auszuführen, die hauptsächlich für 3D-Modellierung und Grafikdesign verwendet werden. Die Kampagne betrifft vor allem Benutzer in Frankreich und der Schweiz, es wurden jedoch auch Infektionen in anderen Ländern gemeldet. Die Malware verwendet PowerShell- und Windows-Batch-Skripte, um eine Hintertür einzurichten und Mining-Programme wie PhoenixMiner und lolMiner auszuführen. Diese Form von Kryptojacking ermöglicht das heimliche Mining von Kryptowährungen ohne das Wissen oder die Zustimmung des Benutzers.
Hacker nutzen seit November 2021 ein Windows-Tool, um Malware für das Mining von Kryptowährungen zu verbreiten, wie eine Analyse von Cisco's Talos Intelligence zeigt. Der Angreifer nutzt den Windows Advanced Installer, eine Software, die Entwicklern bei der Erstellung von Softwareinstallationsprogrammen, wie Adobe Illustrator, hilft, um bösartige Aktionen auf kompromittierten Geräten durchzuführen. Ein am 7. September veröffentlichter Blogbeitrag zeigt, dass die gezielten Softwareinstallationsprogramme hauptsächlich für 3D-Modellierung und Grafikdesign verwendet werden. Darüber hinaus sind die meisten dieser Softwareinstallationsprogramme in Französisch verfasst. Laut der Analyse lässt dies vermuten, dass die Opfer aus verschiedenen Geschäftsbereichen stammen, darunter Architektur, Ingenieurwesen, Bauwesen, Fertigung und Unterhaltung, in französischsprachigen Ländern. Die Kampagne scheint hauptsächlich Benutzer in Frankreich und der Schweiz zu betreffen, aber es gab auch einige Infektionen in anderen Ländern wie den Vereinigten Staaten, Kanada, Algerien, Schweden, Deutschland, Tunesien, Madagaskar, Singapur und Vietnam, basierend auf den DNS-Anforderungsdaten, die an den Command-and-Control-Host des Angreifers übertragen wurden. Die Untersuchung von Talos erkennt eine Krypto-Mining-Kampagne, die bösartige PowerShell- und Windows-Batch-Skripte verwendet, um Befehle auszuführen und eine Hintertür auf dem Computer des Opfers zu etablieren. Bemerkenswert ist, dass PowerShell dafür bekannt ist, im Arbeitsspeicher des Systems zu arbeiten, anstatt auf der Festplatte, was es schwieriger macht, einen Angriff zu erkennen. Sobald die Hintertür erfolgreich installiert ist, setzt der Angreifer zusätzliche Bedrohungen ein, einschließlich des Ethereum-Krypto-Mining-Programms PhoenixMiner und des lolMiner, das eine Bedrohung für das Mining mehrerer Kryptowährungen darstellt. Die Ausführung dieser bösartigen Skripte erfolgt mit der Custom-Action-Funktion von Advanced Installer, mit der Benutzer benutzerdefinierte Installationsaufgaben festlegen können. Die endgültigen Payloads bestehen aus PhoenixMiner und lolMiner, beides öffentlich verfügbare Miner, die auf den GPU-Fähigkeiten von Computern basieren. Die Verwendung von Kryptowährungs-Mining-Malware, auch als Cryptojacking bezeichnet, umfasst das heimliche Installieren von Mining-Code auf einem Gerät ohne die Zustimmung oder das Wissen des Benutzers, um unrechtmäßig Kryptowährungen zu schürfen. Häufige Anzeichen für das Vorhandensein von Mining-Malware auf einem Gerät sind Überhitzung und verminderte Leistung. Die Ausnutzung von Malware-Familien zum Mining oder zum Diebstahl von Kryptowährungen ist keine neue Technik. Der ehemalige Smartphone-Riese BlackBerry hat kürzlich Malware-Skripte identifiziert, die aktiv drei Bereiche ins Visier nehmen: Finanzdienstleistungen, Gesundheitswesen und Regierungsbehörden.
Published At
9/7/2023 8:59:52 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.