Хакеры используют инструмент Windows для распространения вредоносного ПО для майнинга криптовалюты по всему миру.
Summary:
Хакеры заражали компьютеры вредоносным ПО для майнинга криптовалюты с помощью инструмента для Windows под названием Advanced Installer с ноября 2021 года. Злоумышленники используют этот инструмент для выполнения вредоносных скриптов на целевых устройствах, в основном, используемых для трехмерного моделирования и графического дизайна. Данная кампания в основном затрагивает пользователей во Франции и Швейцарии, но также были сообщения о заражениях в других странах. Вредоносное ПО разворачивает PowerShell и пакетные скрипты Windows для установки задней двери и запуска программ майнинга, таких как PhoenixMiner и lolMiner. Эта форма криптокражи несанкционированно майнит криптовалюту без разрешения или согласия пользователя.
Хакеры используют Windows-утилиту для распространения вредоносного программного обеспечения, разработанного для майнинга криптовалюты, с ноября 2021 года. Об этом сообщает анализ, проведенный Talos Intelligence, подразделением компании Cisco. Злоумышленники злоупотребляют Windows Advanced Installer, программным обеспечением, которое помогает разработчикам создавать программные установщики, например Adobe Illustrator, для осуществления вредоносных действий на зараженных устройствах. В блоге, опубликованном 7 сентября, указывается, что целью являются программные установщики, которые в основном используются для трехмерного моделирования и графического дизайна. Более того, подавляющее большинство этих программных установщиков написаны на французском языке. Согласно анализу, это указывает на то, что жертвы, скорее всего, представляют различные секторы бизнеса, включая архитектуру, инжиниринг, строительство, производство и развлечения, во франкоязычных странах. Кампания, по всей видимости, в основном затрагивает пользователей во Франции и Швейцарии, но есть несколько инфицированных устройств в других странах, таких как Соединенные Штаты, Канада, Алжир, Швеция, Германия, Тунис, Мадагаскар, Сингапур и Вьетнам, на основе данных DNS-запросов, передаваемых на сервер управления командами атакующего. Расследование Talos выявило майнинговую кампанию, использующую вредоносные сценарии PowerShell и Windows batch для выполнения команд и установки задней двери на устройстве жертвы. Интересно, что PowerShell известен тем, что работает в оперативной памяти системы, а не на жестком диске, что делает его более сложным для обнаружения атаки. После успешной установки задней двери атакующий разворачивает дополнительные угрозы, включая программу PhoenixMiner для майнинга криптовалюты Ethereum и lolMiner, которая представляет собой угрозу для майнинга нескольких монет. Для выполнения этих вредоносных сценариев используется функция Advanced Installer Custom Action, которая позволяет пользователям определить пользовательские задачи установки. Окончательные загрузки состоят из PhoenixMiner и lolMiner, оба являются общедоступными майнерами, которые полагаются на возможности графического процессора компьютера. Использование вредоносного программного обеспечения для майнинга криптовалюты, известного как "криптовыжимание", подразумевает скрытую установку программного кода для майнинга на устройстве без согласия и знания пользователя с целью незаконного майнинга криптовалют. Распространенными признаками наличия вредоносного программного обеспечения для майнинга на устройстве являются перегрев и снижение производительности. Использование семейств вредоносного программного обеспечения для майнинга или кражи криптовалюты не является новой техникой. Бывший гигант смартфонов BlackBerry недавно выявил вредоносные сценарии, активно нацеленные на три сектора: финансовые услуги, здравоохранение и государственное управление.
Published At
9/7/2023 8:59:52 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.