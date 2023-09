By

Kyberrikolliset ovat löytäneet uuden menetelmän kohdistaa graafisia suunnittelijoita, tartuttaen heidän tietokoneitaan kryptovaluuttakaivostyöntekijöillä. Hyökkääjät käyttävät laillista Windows-työkalua nimeltä "Advanced Installer" levittääkseen haitallisia komentosarjoja, jotka on naamioitu suosittujen 3D-mallinnus- ja graafisen suunnittelun ohjelmistojen asentajiksi.

Cisco Talosin löytämä kampanja on ollut aktiivinen ainakin marraskuusta 2021 lähtien. Hyökkääjät käyttävät todennäköisesti black hat -hakukoneoptimointitekniikoita näiden tartunnan saaneiden asentajien mainostamiseen. Kun käyttäjät lataavat ja suorittavat asennusohjelmia, he asentavat tietämättään etäkäyttötroijalaisia ​​(RAT) ja kryptominointia.

Graafiset suunnittelijat, animaattorit ja videoeditorit ovat tämän kampanjan ensisijaisia ​​kohteita. Nämä ammattilaiset käyttävät usein tietokoneita, joissa on tehokkaat GPU:t, jotka pystyvät tukemaan korkeampia hajautusnopeuksia, mikä tekee niistä kannattavampia hyökkääjille.

Ciscon analyytikot ovat tunnistaneet kaksi erillistä tässä kampanjassa käytettyä hyökkäysmenetelmää. Molemmat menetelmät käyttävät Advanced Installeria luodakseen asennustiedostoja, jotka on täynnä haitallisia PowerShell- ja eräkomentosarjoja. Nämä skriptit suoritetaan, kun asennusohjelma käynnistetään. Ensimmäinen hyökkäysmenetelmä määrittää toistuvan tehtävän, joka suorittaa PowerShell-komentosarjan, joka purkaa lopullisen hyötykuorman salauksen. Toinen hyökkäystapa pudottaa kaksi haitallista komentosarjaa, jotka määrittävät ajoitetut tehtävät suorittamaan PowerShell-komentosarjat.

Hyökkäysten kautta toimitetut hyötykuormat sisältävät etäkäyttötyökalun nimeltä M3_Mini_Rat, jonka avulla hyökkääjät voivat hallita tartunnan saaneita järjestelmiä. RAT voi suorittaa erilaisia ​​toimintoja, kuten järjestelmän tiedustelua, prosessien hallintaa, tiedostojärjestelmän tutkimista, komento- ja ohjaustehtäviä, tiedostojen hallintaa, tiedonsiirtoa ja paljon muuta. Kaksi muuta hyötykuormaa, PhoenixMiner ja lolMiner, louhivat kryptovaluuttaa kaappaamalla näytönohjainten laskentatehoa.

Tämän kampanjan takana olevat hyökkääjät näyttävät olevan ensisijaisesti kiinnostuneita taloudellisesta voitosta. Toinen hyökkäysmenetelmä, joka käyttää kryptomineraajia, keskittyy nopeisiin taloudellisiin voittoihin suuremmalla havaitsemisriskillä. Toisaalta M3_Mini_Rat-hyötykuorma antaa hyökkääjille mahdollisuuden säilyttää hillitty, pitkäaikainen pääsy kohdejärjestelmiin.

Kampanja on vaikuttanut ensisijaisesti uhreihin Ranskassa ja Sveitsissä, ja merkittäviä tartuntoja on havaittu Yhdysvalloissa, Kanadassa, Saksassa, Algeriassa ja Singaporessa. Suojautuakseen tämäntyyppisiltä hyökkäyksiltä käyttäjien tulee olla varovaisia ​​lataaessaan ohjelmistoja epävirallisista lähteistä ja varmistettava, että he käyttävät laillisia ja ajan tasalla olevia asennusohjelmia.

Lähde:

– Cisco Talos (ei URL-osoitetta)