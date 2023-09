By

I criminali informatici hanno scoperto un nuovo metodo per prendere di mira i grafici, infettando i loro computer con minatori di criptovaluta. Gli aggressori utilizzano uno strumento Windows legittimo chiamato "Advanced Installer" per distribuire script dannosi mascherati da programmi di installazione per i più diffusi software di modellazione 3D e progettazione grafica.

La campagna, scoperta da Cisco Talos, è attiva almeno da novembre 2021. Gli aggressori utilizzano probabilmente tecniche di ottimizzazione dei motori di ricerca black hat per promuovere questi installatori infetti. Quando gli utenti scaricano ed eseguono i programmi di installazione, installano inconsapevolmente trojan di accesso remoto (RAT) e payload di criptomining.

I grafici, gli animatori e gli editor video sono gli obiettivi principali di questa campagna. Questi professionisti utilizzano spesso computer con GPU potenti in grado di supportare tassi di hash di mining più elevati, rendendoli più redditizi per gli aggressori.

Gli analisti di Cisco hanno identificato due distinti metodi di attacco utilizzati in questa campagna. Entrambi i metodi utilizzano Advanced Installer per creare file di installazione pieni di PowerShell dannosi e script batch. Questi script vengono eseguiti all'avvio del programma di installazione. Il primo metodo di attacco configura un'attività ricorrente che esegue uno script PowerShell che decrittografa il payload finale. Il secondo metodo di attacco rilascia due script dannosi che impostano attività pianificate per eseguire script PowerShell.

I payload consegnati attraverso questi attacchi includono uno strumento di accesso remoto chiamato M3_Mini_Rat, che offre agli aggressori il controllo sui sistemi infetti. Il RAT può eseguire varie funzioni come ricognizione del sistema, gestione dei processi, esplorazione del file system, attività di comando e controllo, gestione dei file, trasmissione dei dati e altro ancora. Gli altri due payload, PhoenixMiner e lolMiner, estraggono criptovaluta dirottando la potenza di calcolo delle schede grafiche.

Gli aggressori dietro questa campagna sembrano essere principalmente interessati al guadagno finanziario. Il secondo metodo di attacco, che impiega i cryptominer, si concentra su rapidi guadagni finanziari con un rischio maggiore di rilevamento. Il payload M3_Mini_Rat, invece, consente agli aggressori di mantenere un accesso discreto e prolungato ai sistemi bersaglio.

La campagna ha colpito principalmente vittime in Francia e Svizzera, con notevoli infezioni negli Stati Uniti, Canada, Germania, Algeria e Singapore. Per proteggersi da questo tipo di attacco, gli utenti dovrebbero prestare attenzione quando scaricano software da fonti non ufficiali e assicurarsi di utilizzare programmi di installazione legittimi e aggiornati.

Fonte:

– Cisco Talos (nessun URL fornito)