Hackers explotan herramienta de Windows para distribuir malware de minería de criptomonedas en todo el mundo.
Summary:
Los hackers han estado infectando máquinas con malware de minería de criptomonedas a través de una herramienta de Windows llamada Advanced Installer desde noviembre de 2021. Los atacantes explotan la herramienta para ejecutar scripts maliciosos en dispositivos específicos, principalmente utilizados para modelado 3D y diseño gráfico. La campaña afecta predominantemente a usuarios en Francia y Suiza, pero también se han reportado infecciones en otros países. El malware utiliza scripts de PowerShell y Windows para establecer una puerta trasera y ejecutar programas de minería como PhoenixMiner y lolMiner. Esta forma de criptominería ilegal consiste en extraer criptomonedas sin el conocimiento o consentimiento del usuario.
Los hackers han estado aprovechando una herramienta de Windows para distribuir malware diseñado para la minería de criptomonedas desde noviembre de 2021, según se detalla en un análisis realizado por Talos Intelligence de Cisco. El atacante se aprovecha de Windows Advanced Installer, un software que ayuda a los desarrolladores a crear instaladores de software, como Adobe Illustrator, para llevar a cabo acciones maliciosas en dispositivos comprometidos. Una publicación de blog publicada el 7 de septiembre revela que los instaladores de software objetivo se utilizan principalmente para modelado en 3D y diseño gráfico. Además, la mayoría de estos instaladores de software están escritos en francés. Según el análisis, esto sugiere que las víctimas probablemente sean de diferentes sectores empresariales, incluyendo arquitectura, ingeniería, construcción, manufactura y entretenimiento, en países de habla francesa. La campaña parece afectar principalmente a usuarios en Francia y Suiza, pero también ha habido algunas infecciones en otros países como Estados Unidos, Canadá, Argelia, Suecia, Alemania, Túnez, Madagascar, Singapur y Vietnam, según datos de solicitudes DNS transmitidos al host de control y comando del atacante. La investigación de Talos identifica una campaña de minería de criptomonedas que utiliza scripts maliciosos de PowerShell y Windows batch para ejecutar comandos y establecer una puerta trasera en el dispositivo de la víctima. Es importante destacar que PowerShell es conocido por operar en la memoria del sistema en lugar del disco duro, lo que hace más difícil detectar un ataque. Una vez que la puerta trasera se instala con éxito, el atacante despliega amenazas adicionales, incluyendo el programa de minería de criptomonedas Ethereum PhoenixMiner y lolMiner, que es una amenaza de minería de varias monedas. La ejecución de estos scripts maliciosos utiliza la función de Acción Personalizada de Advanced Installer, que permite a los usuarios definir tareas de instalación personalizadas. Las cargas finales consisten en PhoenixMiner y lolMiner, ambos mineros de acceso público que aprovechan las capacidades de la GPU de las computadoras. El uso de malware de minería de criptomonedas, conocido como cryptojacking, implica instalar de manera encubierta un código de minería en un dispositivo sin el consentimiento ni el conocimiento del usuario para extraer criptomonedas ilegalmente. Las señales comunes de malware de minería que opera en un dispositivo incluyen el sobrecalentamiento y un rendimiento disminuido. Explotar familias de malware para extraer o robar criptomonedas no es una técnica nueva. Recientemente, el antiguo gigante de los teléfonos inteligentes BlackBerry identificó scripts de malware que atacaban activamente tres sectores: servicios financieros, atención médica y gobierno.
Published At
9/7/2023 8:59:52 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.