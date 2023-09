Cyberkriminelen hawwe in nije metoade ûntdutsen om grafyske ûntwerpers te rjochtsjen, har kompjûters te ynfektearjen mei cryptocurrency-miners. De oanfallers brûke in legitime Windows-ark neamd 'Advanced Installer' om kweade skripts te ferklaaien as ynstallearders foar populêre software foar 3D-modellering en grafysk ûntwerp.

De kampanje, ûntdutsen troch Cisco Talos, is aktyf sûnt op syn minst novimber 2021. De oanfallers brûke wierskynlik swarte hoed sykmasino-optimisaasjetechniken om dizze ynfekteare ynstallearders te befoarderjen. As brûkers de ynstallearders downloade en útfiere, ynstallearje se ûnbewust trojans op ôfstân (RAT's) en kryptominearjende payloads.

Grafyske ûntwerpers, animators en fideo-bewurkers binne de primêre doelen fan dizze kampanje. Dizze professionals brûke faak kompjûters mei krêftige GPU's dy't de mooglikheid hawwe om hegere mining-hash-tariven te stypjen, wêrtroch se mear rendabel binne foar de oanfallers.

Cisco's analisten hawwe twa ûnderskate oanfalmetoaden identifisearre dy't brûkt wurde yn dizze kampanje. Beide metoaden brûke Advanced Installer om ynstallearderbestannen te meitsjen fol mei kweade PowerShell- en batchskripts. Dizze skripts wurde útfierd by it starten fan it ynstallearder. De earste oanfalmetoade stelt in weromkommende taak op mei in PowerShell-skript dat de definitive lading ûntsiferet. De twadde oanfalmetoade falt twa kweade skripts dy't plande taken ynstelle om PowerShell-skripts út te fieren.

De payloads levere troch dizze oanfallen omfetsje in ark foar tagong op ôfstân neamd M3_Mini_Rat, dat oanfallers kontrôle jout oer ynfekteare systemen. De RAT kin ferskate funksjes útfiere, lykas systeemferkenning, prosesbehear, ferkenning fan bestânsysteem, kommando- en kontrôletaken, bestânbehear, gegevensoerdracht, en mear. De oare twa payloads, PhoenixMiner en lolMiner, myn cryptocurrency troch it kapjen fan de berekkeningskrêft fan grafyske kaarten.

De oanfallers efter dizze kampanje lykje primêr ynteressearre te wêzen yn finansjeel gewin. De twadde oanfalmetoade, dy't kryptominers ynset, rjochtet him op rappe finansjele winsten mei in heger risiko op detectie. De M3_Mini_Rat-lading, oan 'e oare kant, lit de oanfallers diskrete, langere tagong ta doelsystemen behâlde.

De kampanje hat primêr ynfloed op slachtoffers yn Frankryk en Switserlân, mei opmerklike ynfeksjes yn 'e Feriene Steaten, Kanada, Dútslân, Algerije en Singapore. Om te beskermjen tsjin dit soarte oanfal, moatte brûkers foarsichtich wêze by it downloaden fan software fan net-offisjele boarnen en soargje dat se legitime en aktuele ynstallearders brûke.

Boarne:

- Cisco Talos (gjin URL levere)