Інструмент для Windows, на який націлилися хакери, встановлює шкідливе програмне забезпечення для криптомайнінгу

Згідно з аналізом Talos Intelligence компанії Cisco, з листопада 2021 року хакери використовують інструмент Windows для розповсюдження шкідливого програмного забезпечення для майнінгу криптовалют. Зловмисник використовує Windows Advanced Installer – додаток, який допомагає розробникам пакувати інші інсталятори програмного забезпечення, такі як Adobe Illustrator, – для виконання шкідливих сценаріїв на заражених машинах.

Згідно з повідомленням у блозі від 7 вересня, інсталятори, які постраждали від атаки, в основному використовуються для 3D-моделювання та графічного дизайну. Крім того, більшість інсталяторів, які використовуються в кампанії, написані французькою мовою. Отримані дані свідчать про те, що «жертвами можуть стати представники різних бізнес-вертикалей, включаючи архітектуру, інженерію, будівництво, виробництво та індустрію розваг у країнах, де домінує французька мова», – пояснюється в аналітичному звіті.

Атаки переважно зачіпають користувачів у Франції та Швейцарії, з кількома зараженнями в інших країнах, включаючи США, Канаду, Алжир, Швецію, Німеччину, Туніс, Мадагаскар, Сінгапур і В’єтнам, зазначається в повідомленні на основі даних DNS-запитів, надісланих на командно-контрольний хост зловмисника.

Незаконна кампанія з майнінгу криптовалют, виявлена Talos, передбачає розгортання шкідливих пакетних сценаріїв PowerShell і Windows для виконання команд і встановлення бекдору на комп’ютері жертви. PowerShell, зокрема, відомий тим, що запускається в пам’яті системи, а не на жорсткому диску, що ускладнює ідентифікацію атаки.

Після встановлення бекдору зловмисник запускає додаткові шкідливі програми, такі як PhoenixMiner, програму для майнінгу криптовалюти Ethereum, та lolMiner, інструмент для майнінгу мультикоінів.

«Ці шкідливі скрипти виконуються за допомогою функції Advanced Installer’s Custom Action, яка дозволяє користувачам попередньо визначати власні завдання встановлення. Кінцевим корисним навантаженням є PhoenixMiner та lolMiner – загальнодоступні майнери, що покладаються на можливості графічних процесорів комп’ютерів».

Використання шкідливого програмного забезпечення для криптомайнінгу відоме як криптоджекінг і полягає у встановленні коду для криптомайнінгу на пристрої без відома або дозволу користувача з метою незаконного видобутку криптовалют. Ознаками того, що на комп’ютері працює шкідливе програмне забезпечення для майнінгу, є перегрівання та низька продуктивність пристрою.

Використання сімейств шкідливих програм для викрадення пристроїв з метою майнінгу або крадіжки криптовалют не є новою практикою. Колишній гігант з виробництва смартфонів BlackBerry нещодавно виявив скрипти шкідливого програмного забезпечення, які активно націлені щонайменше на три сектори, включаючи фінансові послуги, охорону здоров’я та уряд.