Hackers exploram ferramenta do Windows para distribuir malware de mineração de criptomoedas em todo o mundo.
Summary:
Hackers têm infectado máquinas com malware de mineração de criptomoedas através de uma ferramenta do Windows chamada Advanced Installer desde novembro de 2021. Os atacantes exploram a ferramenta para executar scripts maliciosos em dispositivos-alvo, principalmente usados para modelagem 3D e design gráfico. A campanha afeta predominantemente usuários na França e na Suíça, mas infecções também foram relatadas em outros países. O malware utiliza scripts do PowerShell e do Windows para estabelecer uma porta dos fundos e executar programas de mineração como PhoenixMiner e lolMiner. Essa forma de criptoconversão envolve a mineração ilícita de criptomoedas sem o conhecimento ou consentimento do usuário.
Hackers têm aproveitado uma ferramenta do Windows para distribuir malware projetado para mineração de criptomoedas desde novembro de 2021, como descrito em uma análise conduzida pela Talos Intelligence da Cisco. O atacante se aproveita do Windows Advanced Installer, um software que ajuda os desenvolvedores a criar instaladores de software, como o Adobe Illustrator, para realizar ações maliciosas em dispositivos comprometidos. Uma postagem de blog publicada em 7 de setembro revela que os instaladores de software direcionados são usados principalmente para modelagem 3D e design gráfico. Além disso, a maioria desses instaladores de software é escrita em francês. De acordo com a análise, isso sugere que as vítimas provavelmente são de vários setores empresariais, incluindo arquitetura, engenharia, construção, manufatura e entretenimento, em países de língua francesa. A campanha parece afetar principalmente usuários na França e na Suíça, mas houve algumas infecções em outros países, como Estados Unidos, Canadá, Argélia, Suécia, Alemanha, Tunísia, Madagascar, Cingapura e Vietnã, com base nos dados de solicitação DNS transmitidos para o servidor de comando e controle do atacante. A investigação da Talos identifica uma campanha de mineração de criptomoedas que utiliza scripts maliciosos do PowerShell e do Windows batch para executar comandos e estabelecer uma porta dos fundos na máquina da vítima. É importante destacar que o PowerShell é conhecido por operar na memória do sistema, ao invés do disco rígido, o que torna mais desafiador detectar um ataque. Uma vez que a porta dos fundos é instalada com sucesso, o atacante implanta ameaças adicionais, incluindo o programa de mineração de criptomoedas Ethereum PhoenixMiner e o lolMiner, que é uma ameaça de mineração de várias moedas. A execução desses scripts maliciosos utiliza o recurso Custom Action do Advanced Installer, que permite aos usuários definir tarefas de instalação personalizadas. Os payloads finais consistem no PhoenixMiner e no lolMiner, ambos mineradores publicamente disponíveis que utilizam as capacidades da GPU dos computadores. O uso de malware de mineração de criptomoedas, conhecido como cryptojacking, envolve a instalação sorrateira de código de mineração em um dispositivo sem o consentimento ou conhecimento do usuário, para minerar criptomoedas ilegalmente. Indicações comuns de malwares de mineração operando em um dispositivo incluem superaquecimento e diminuição de desempenho. A exploração de famílias de malwares para minerar ou roubar criptomoedas não é uma técnica nova. A antiga gigante dos smartphones, BlackBerry, identificou recentemente scripts de malware ativamente direcionados para três setores: serviços financeiros, saúde e governo.
Published At
9/7/2023 8:59:52 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.