Търсене
Close this search box.

Киберпрестъпниците използват легитимен инструмент в атаки за криптодобив

Легитимен инструмент на Windows, използван за създаване на софтуерни пакети, наречен Advanced Installer, се използва от заплахи за пускане на зловреден софтуер за добив на криптовалута на заразени машини поне от ноември 2021 г.

„Атакуващият използва Advanced Installer, за да пакетира други легитимни софтуерни инсталатори, като Adobe Illustrator, Autodesk 3ds Max и SketchUp Pro, със злонамерени скриптове и използва функцията Custom Actions на Advanced Installer, за да накара софтуерните инсталатори да изпълнят злонамерените скриптове“, казва изследователят от Cisco Talos Четън Рагупрасад в технически доклад.

Естеството на троянските приложения показва, че жертвите вероятно обхващат секторите архитектура, инженерство, строителство, производство и развлечения. Инсталаторите на софтуера използват предимно френски език, което е знак, че са избрани френскоговорящи потребители.

Тази кампания е стратегическа, тъй като тези индустрии разчитат на компютри с висока мощност на графичните процесори (GPU) за ежедневните си операции, което ги прави изгодни цели за криптоджакинг.

Анализът на Cisco на данните от DNS заявките, изпратени до инфраструктурата на нападателя, показва, че виктимологичният отпечатък обхваща Франция и Швейцария, последван от спорадични инфекции в САЩ, Канада, Алжир, Швеция, Германия, Тунис, Мадагаскар, Сингапур и Виетнам.

Кулминацията на атаките е разгръщането на M3_Mini_Rat, PowerShell скрипт, който вероятно действа като задна врата за изтегляне и изпълнение на допълнителни заплахи, както и на множество семейства зловреден софтуер за добив на криптовалути, като PhoenixMiner и lolMiner.

Що се отнася до първоначалния вектор за достъп, подозира се, че техниките за отравяне на оптимизацията на търсачките (SEO) може да са били използвани за доставяне на подправените инсталатори на софтуер на машините на жертвите.

След като бъде стартиран, инсталаторът активира многоетапна верига от атаки, която пуска клиентския клон на M3_Mini_Rat и двоичните файлове на миньора.

„Клиентът M3_Mini_Rat е PowerShell скрипт с възможности за отдалечено администриране, който се фокусира основно върху извършването на разузнаване на системата и изтеглянето и изпълнението на други зловредни бинарни файлове“, казва Рагупрасад.

Троянският кон е проектиран да се свързва с отдалечен сървър, въпреки че в момента той не реагира, което затруднява определянето на точното естество на зловредния софтуер, който може да е бил разпространен чрез този процес.

Другите два злонамерени полезни товара се използват за незаконно добиване на криптовалута, като се използват ресурсите на графичния процесор на машината. PhoenixMiner е зловреден софтуер за добив на криптовалута Ethereum, докато lolMiner е софтуер за добив с отворен код, който може да се използва за добив на две виртуални валути едновременно.

В още един случай на злоупотреба с легитимни инструменти Check Point предупреждава за нов тип фишинг атака, която използва Google Looker Studio за създаване на фалшиви фишинг сайтове за криптовалути в опит да се заобиколят защитите.

„Хакерите го използват, за да създават фалшиви криптостраници, които имат за цел да откраднат пари и идентификационни данни“, казва изследователят по сигурността Джереми Фукс.

„Това е дълъг начин да се каже, че хакерите използват авторитета на Google. Една услуга за сигурност на електронна поща ще разгледа всички тези фактори и ще има голяма доза увереност, че това не е фишинг имейл и че идва от Google.“

Източник: The Hacker News

Подобни публикации

15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
Бъдете социални
Още по темата
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
11/04/2024

CISA нарежда на агенциите, ...

CISA издаде нова спешна директива, с...
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
Последно добавени
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!