Легитимен инструмент на Windows, използван за създаване на софтуерни пакети, наречен Advanced Installer, се използва от заплахи за пускане на зловреден софтуер за добив на криптовалута на заразени машини поне от ноември 2021 г.

„Атакуващият използва Advanced Installer, за да пакетира други легитимни софтуерни инсталатори, като Adobe Illustrator, Autodesk 3ds Max и SketchUp Pro, със злонамерени скриптове и използва функцията Custom Actions на Advanced Installer, за да накара софтуерните инсталатори да изпълнят злонамерените скриптове“, казва изследователят от Cisco Talos Четън Рагупрасад в технически доклад.

Естеството на троянските приложения показва, че жертвите вероятно обхващат секторите архитектура, инженерство, строителство, производство и развлечения. Инсталаторите на софтуера използват предимно френски език, което е знак, че са избрани френскоговорящи потребители.

Тази кампания е стратегическа, тъй като тези индустрии разчитат на компютри с висока мощност на графичните процесори (GPU) за ежедневните си операции, което ги прави изгодни цели за криптоджакинг.

Анализът на Cisco на данните от DNS заявките, изпратени до инфраструктурата на нападателя, показва, че виктимологичният отпечатък обхваща Франция и Швейцария, последван от спорадични инфекции в САЩ, Канада, Алжир, Швеция, Германия, Тунис, Мадагаскар, Сингапур и Виетнам.

Кулминацията на атаките е разгръщането на M3_Mini_Rat, PowerShell скрипт, който вероятно действа като задна врата за изтегляне и изпълнение на допълнителни заплахи, както и на множество семейства зловреден софтуер за добив на криптовалути, като PhoenixMiner и lolMiner.

Що се отнася до първоначалния вектор за достъп, подозира се, че техниките за отравяне на оптимизацията на търсачките (SEO) може да са били използвани за доставяне на подправените инсталатори на софтуер на машините на жертвите.

След като бъде стартиран, инсталаторът активира многоетапна верига от атаки, която пуска клиентския клон на M3_Mini_Rat и двоичните файлове на миньора.

„Клиентът M3_Mini_Rat е PowerShell скрипт с възможности за отдалечено администриране, който се фокусира основно върху извършването на разузнаване на системата и изтеглянето и изпълнението на други зловредни бинарни файлове“, казва Рагупрасад.

Троянският кон е проектиран да се свързва с отдалечен сървър, въпреки че в момента той не реагира, което затруднява определянето на точното естество на зловредния софтуер, който може да е бил разпространен чрез този процес.

Другите два злонамерени полезни товара се използват за незаконно добиване на криптовалута, като се използват ресурсите на графичния процесор на машината. PhoenixMiner е зловреден софтуер за добив на криптовалута Ethereum, докато lolMiner е софтуер за добив с отворен код, който може да се използва за добив на две виртуални валути едновременно.

В още един случай на злоупотреба с легитимни инструменти Check Point предупреждава за нов тип фишинг атака, която използва Google Looker Studio за създаване на фалшиви фишинг сайтове за криптовалути в опит да се заобиколят защитите.

„Хакерите го използват, за да създават фалшиви криптостраници, които имат за цел да откраднат пари и идентификационни данни“, казва изследователят по сигурността Джереми Фукс.

„Това е дълъг начин да се каже, че хакерите използват авторитета на Google. Една услуга за сигурност на електронна поща ще разгледа всички тези фактори и ще има голяма доза увереност, че това не е фишинг имейл и че идва от Google.“

Източник: The Hacker News

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
15/01/2025

Хакери измамиха 100 служите...

Службата на финансовия контрольор в Масачузетс...
13/01/2025

Съдят пастор за криптоизмама

На пастор от църква в Паско,...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!