I hacker sfruttano lo strumento di Windows per distribuire malware per l'estrazione di criptovalute in tutto il mondo.
Summary:
Gli hacker hanno infettato le macchine con malware per il mining di criptovalute tramite un tool di Windows chiamato Advanced Installer dal novembre 2021. Gli attaccanti sfruttano il tool per eseguire script maligni sui dispositivi bersaglio, principalmente utilizzati per il modellamento 3D e il design grafico. La campagna colpisce principalmente gli utenti in Francia e in Svizzera, ma sono state segnalate infezioni anche in altri Paesi. Il malware utilizza PowerShell e script batch di Windows per creare una backdoor ed eseguire programmi di mining come PhoenixMiner e lolMiner. Questo tipo di cryptojacking coinvolge il mining illecito di criptovalute senza la conoscenza o il consenso dell'utente.
Gli hacker hanno sfruttato uno strumento di Windows per distribuire malware progettato per il mining di criptovalute dal novembre 2021, come indicato in un'analisi condotta da Talos Intelligence di Cisco. L'attaccante sfrutta Windows Advanced Installer, un software che aiuta gli sviluppatori a creare installer software, come Adobe Illustrator, per compiere azioni dannose sui dispositivi compromessi. Un post sul blog pubblicato il 7 settembre rivela che gli installer software presi di mira vengono principalmente utilizzati per scopi di modellazione 3D e design grafico. Inoltre, la maggior parte di questi installer software è scritta in francese. Secondo l'analisi, ciò suggerisce che le vittime siano probabilmente provenienti da vari settori aziendali, tra cui architettura, ingegneria, edilizia, manifatturiero e intrattenimento, in paesi di lingua francese. La campagna sembra colpire principalmente gli utenti in Francia e in Svizzera, ma ci sono state alcune infezioni in altri paesi come Stati Uniti, Canada, Algeria, Svezia, Germania, Tunisia, Madagascar, Singapore e Vietnam, basate sui dati di richiesta DNS trasmessi all'host di controllo e comando dell'attaccante. L'indagine di Talos riconosce una campagna di crypto mining che impiega script PowerShell e batch di Windows per eseguire comandi e stabilire una porta backdoor sulla macchina della vittima. In particolare, PowerShell è noto per operare nella memoria del sistema anziché nell'hard drive, rendendo più difficile rilevare un attacco. Una volta che la porta backdoor è installata con successo, l'attaccante distribuisce minacce aggiuntive, tra cui il programma di crypto mining Ethereum PhoenixMiner e lolMiner, che è una minaccia multi-coin mining. L'esecuzione di questi script dannosi utilizza la funzione Custom Action di Advanced Installer, che consente agli utenti di definire attività di installazione personalizzate. Gli payload finali consistono in PhoenixMiner e lolMiner, entrambi miner pubblicamente disponibili che fanno affidamento sulle capacità della GPU dei computer. L'uso di malware di mining di criptovalute, noto come cryptojacking, comporta l'installazione clandestina di codice di mining su un dispositivo senza il consenso o la conoscenza dell'utente per estrarre criptovalute in modo illecito. Segnali comuni di malware di mining che operano su un dispositivo includono surriscaldamento e diminuzione delle prestazioni. Lo sfruttamento di famiglie di malware per estrarre o rubare criptovalute non è una nuova tecnica. La ex gigante degli smartphone BlackBerry ha recentemente identificato script malware mirati attivamente a tre settori: servizi finanziari, sanità e governo.
Published At
9/7/2023 8:59:52 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.