Легитимен инструмент на Windows, използван за създаване на софтуерни пакети, наречен Advanced Installer, се използва от заплахи за пускане на зловреден софтуер за добив на криптовалута на заразени машини поне от ноември 2021 г.
„Атакуващият използва Advanced Installer, за да пакетира други легитимни софтуерни инсталатори, като Adobe Illustrator, Autodesk 3ds Max и SketchUp Pro, със злонамерени скриптове и използва функцията Custom Actions на Advanced Installer, за да накара софтуерните инсталатори да изпълнят злонамерените скриптове“, казва изследователят от Cisco Talos Четън Рагупрасад в технически доклад.
Естеството на троянските приложения показва, че жертвите вероятно обхващат секторите архитектура, инженерство, строителство, производство и развлечения. Инсталаторите на софтуера използват предимно френски език, което е знак, че са избрани френскоговорящи потребители.
Тази кампания е стратегическа, тъй като тези индустрии разчитат на компютри с висока мощност на графичните процесори (GPU) за ежедневните си операции, което ги прави изгодни цели за криптоджакинг.
Анализът на Cisco на данните от DNS заявките, изпратени до инфраструктурата на нападателя, показва, че виктимологичният отпечатък обхваща Франция и Швейцария, последван от спорадични инфекции в САЩ, Канада, Алжир, Швеция, Германия, Тунис, Мадагаскар, Сингапур и Виетнам.
Кулминацията на атаките е разгръщането на M3_Mini_Rat, PowerShell скрипт, който вероятно действа като задна врата за изтегляне и изпълнение на допълнителни заплахи, както и на множество семейства зловреден софтуер за добив на криптовалути, като PhoenixMiner и lolMiner.
Що се отнася до първоначалния вектор за достъп, подозира се, че техниките за отравяне на оптимизацията на търсачките (SEO) може да са били използвани за доставяне на подправените инсталатори на софтуер на машините на жертвите.
След като бъде стартиран, инсталаторът активира многоетапна верига от атаки, която пуска клиентския клон на M3_Mini_Rat и двоичните файлове на миньора.
„Клиентът M3_Mini_Rat е PowerShell скрипт с възможности за отдалечено администриране, който се фокусира основно върху извършването на разузнаване на системата и изтеглянето и изпълнението на други зловредни бинарни файлове“, казва Рагупрасад.
Троянският кон е проектиран да се свързва с отдалечен сървър, въпреки че в момента той не реагира, което затруднява определянето на точното естество на зловредния софтуер, който може да е бил разпространен чрез този процес.
Другите два злонамерени полезни товара се използват за незаконно добиване на криптовалута, като се използват ресурсите на графичния процесор на машината. PhoenixMiner е зловреден софтуер за добив на криптовалута Ethereum, докато lolMiner е софтуер за добив с отворен код, който може да се използва за добив на две виртуални валути едновременно.
В още един случай на злоупотреба с легитимни инструменти Check Point предупреждава за нов тип фишинг атака, която използва Google Looker Studio за създаване на фалшиви фишинг сайтове за криптовалути в опит да се заобиколят защитите.
„Хакерите го използват, за да създават фалшиви криптостраници, които имат за цел да откраднат пари и идентификационни данни“, казва изследователят по сигурността Джереми Фукс.
„Това е дълъг начин да се каже, че хакерите използват авторитета на Google. Една услуга за сигурност на електронна поща ще разгледа всички тези фактори и ще има голяма доза увереност, че това не е фишинг имейл и че идва от Google.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.