Согласно анализу компании Ciscos Talos Intelligence, начиная с ноября 2021 года хакеры используют инструмент Windows для распространения вредоносных программ для майнинга криптовалют. Злоумышленники используют Windows Advanced Installer - приложение, помогающее разработчикам упаковывать инсталляторы других программ, например Adobe Illustrator, - для выполнения вредоносных скриптов на зараженных машинах.

Как сообщается в блоге компании 7 сентября, инсталляторы программ, подвергшихся атаке, в основном используются для 3D-моделирования и графического дизайна. Кроме того, большинство инсталляторов, использовавшихся в ходе кампании, написаны на французском языке. Полученные данные позволяют предположить, что "жертвами атаки, скорее всего, стали представители различных сфер бизнеса, включая архитектуру, проектирование, строительство, производство и развлечения в странах с преобладанием французского языка", - поясняется в анализе.

Атаки затрагивают преимущественно пользователей Франции и Швейцарии, а также несколько заражений в других странах, включая США, Канаду, Алжир, Швецию, Германию, Тунис, Мадагаскар, Сингапур и Вьетнам, отмечается в сообщении, основанном на данных DNS-запросов, отправленных на командно-контрольный (C2) узел злоумышленников.

Незаконная кампания по добыче криптовалют, выявленная компанией Talos, предполагает развертывание вредоносных скриптов PowerShell и пакетных сценариев Windows для выполнения команд и создания черного хода на компьютере жертвы. PowerShell, в частности, известен тем, что выполняется в памяти системы, а не на жестком диске, что затрудняет идентификацию атаки.

Пример инсталлятора, упакованного вредоносными скриптами с помощью Advanced Installer. Источник: Talos Intelligence.
Пример инсталлятора, упакованного вредоносными скриптами с помощью Advanced Installer. Источник: Talos Intelligence.

После установки бэкдора злоумышленник запускает дополнительные угрозы, такие как программа для майнинга криптовалюты Ethereum - PhoenixMiner, и lolMiner - угроза для добычи нескольких монет.

"Эти вредоносные скрипты выполняются с помощью функции Advanced Installer`s Custom Action, которая позволяет пользователям предопределять пользовательские задачи установки. Конечной полезной нагрузкой являются PhoenixMiner и lolMiner, общедоступные майнеры, использующие возможности графических процессоров компьютеров".

Использование вредоносных программ для майнинга криптовалют известно как криптоджекинг и подразумевает установку кода для майнинга криптовалют на устройство без ведома и разрешения пользователя с целью незаконной добычи криптовалют. Признаками того, что в устройстве может быть запущено вредоносное ПО для майнинга, являются перегрев и плохая работа устройства.

Использование семейств вредоносных программ для захвата устройств с целью майнинга или кражи криптовалют - практика не новая. Бывший гигант рынка смартфонов BlackBerry недавно выявил вредоносные скрипты, активно нацеленные как минимум на три сектора, включая финансовые услуги, здравоохранение и государственное управление.

Журнал: `Моральная ответственность` - Может ли блокчейн действительно повысить доверие к искусственному интеллекту?

Источник