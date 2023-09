I cibercriminali anu scupertu un novu metudu per destinà i diseggiani grafichi, infettendu i so computer cù i minatori di criptocurrency. L'attaccanti utilizanu un strumentu legittimu di Windows chjamatu "Installatore Avanzatu" per distribuisce scripts maliziusi disfrazati da installatori per u software populari di modellazione 3D è di cuncepimentu graficu.

A campagna, scuperta da Cisco Talos, hè stata attiva da almenu nuvembre 2021. L'attaccanti sò prubabilmente utilizendu tecniche d'ottimisazione di u mutore di ricerca di u cappelli neri per prumove questi installatori infettati. Quandu l'utilizatori scaricanu è eseguite l'installatori, installanu senza sapè chì troiani d'accessu remotu (RAT) è carichi utili di criptomining.

I diseggiani grafichi, l'animatori è l'editori di video sò i miri primari di sta campagna. Questi prufessiunali spessu usanu computer cù GPU putenti chì anu a capacità di supportà tassi di mining hash più altu, facendu più prufittu per l'attaccanti.

L'analisti di Cisco anu identificatu dui metudi di attaccu distinti utilizati in questa campagna. I dui metudi utilizanu Installatore Avanzatu per creà fugliali di stallazione imballati cù PowerShell maliziusi è script batch. Questi script sò eseguiti dopu à lancià u installatore. U primu metudu di attaccu stabilisce un compitu recurrente chì esegue un script PowerShell chì decripta a carica finale. U secondu metudu di attaccu abbanduneghja dui scripts maliziusi chì stabiliscenu i travaglii pianificati per eseguisce script PowerShell.

I carichi pagati attraversu questi attacchi includenu un strumentu d'accessu remoto chjamatu M3_Mini_Rat, chì dà à l'attaccanti u cuntrollu di i sistemi infettati. U RAT pò eseguisce diverse funzioni cum'è a ricunniscenza di u sistema, a gestione di u prucessu, l'esplorazione di u sistema di schedari, i travaglii di cummandu è di cuntrollu, gestione di schedari, trasmissione di dati, è più. L'altri dui payloads, PhoenixMiner è lolMiner, a mo criptana di criptu di a mozza da u pirate di a putenza computazionale di e carte grafiche.

L'attaccanti daretu à sta campagna parenu esse principalmente interessate à guadagnà finanziariu. U sicondu metudu di attaccu, chì implementa criptominers, si cuncentra in guadagnà finanziarii rapidi à un risicu più altu di deteczione. U payload M3_Mini_Rat, invece, permette à l'attaccanti di mantene un accessu discretu è prolongatu à i sistemi di destinazione.

A campagna hà affettatu principalmente e vittime in Francia è Svizzera, cù infezioni notevuli in i Stati Uniti, Canada, Germania, Algeria è Singapore. Per prutezzione di stu tipu d'attaccu, l'utilizatori devenu esse prudenti quandu scaricanu software da fonti non ufficiali è assicuratevi chì utilizanu installatori legittimi è aghjurnati.

Source:

- Cisco Talos (senza URL furnitu)