Legitimni Windows alat koji se koristi za kreiranje softverskih paketa pod nazivom Advanced Installer zloupotrebljavaju hakeri za ubacivanje malware-a za rudarenje kriptovaluta na zaražene mašine najmanje od novembra 2021.
“Haker koristi Advanced Installer da pakuje druge legitimne programe za instalaciju softvera, kao što su Adobe Illustrator, Autodesk 3ds Max i SketchUp Pro, sa malicioznim skriptama i koristi funkciju prilagođenih radnji Advanced Installer-a kako bi instalateri softvera izvršili maliciozne skripte”, istraživač Cisco Talosa Chetan Raghuprasad je rekao u tehničkom izvještaju.
Priroda trojaniziranih aplikacija ukazuje na to da žrtve vjerovatno obuhvataju sektore arhitekture, inženjeringa, građevinarstva, proizvodnje i zabave. Instaleri softvera uglavnom koriste francuski jezik, što je znak da se izdvajaju korisnici koji govore francuski.
Ova kampanja je strateška po tome što se ove industrije oslanjaju na računare sa visokom snagom grafičke procesorske jedinice (GPU) za svoje svakodnevne operacije, što ih čini unosnim metama za kryptojacking.
Ciscova analiza podataka DNS zahtjeva poslanih infrastrukturi napadača pokazuje da viktimološki otisak obuhvata Francusku i Švicarsku, a slijede sporadične infekcije u SAD-u, Kanadi, Alžiru, Švedskoj, Njemačkoj, Tunisu, Madagaskaru, Singapuru i Vijetnamu.
Napadi kulminiraju uvođenjem M3_Mini_Rat, PowerShell skripte koja vjerojatno djeluje kao backdoor za preuzimanje i izvršavanje dodatnih prijetnji, kao i više familija malvera za rudarenje kriptovaluta kao što su PhoenixMiner i lolMiner.
Što se tiče inicijalnog vektora pristupa, sumnja se da su tehnike trovanja optimizacije za pretraživače (SEO) možda korišćene za isporuku namještenih instalatera softvera na mašine žrtve.
Instaler, kada se jednom pokrene, aktivira višestepeni lanac napada koji ispušta M3_Mini_Rat klijentski stub i binarne datoteke rudara.
“M3_Mini_Rat klijent je PowerShell skripta sa mogućnostima udaljene administracije koja se uglavnom fokusira na izviđanje sistema i preuzimanje i izvršavanje drugih malicioznih binarnih datoteka”, rekao je Raghuprasad.
Trojanac je dizajniran da kontaktira udaljeni server, iako trenutno ne reagira, što otežava utvrđivanje tačne prirode malware-a koji je možda distribuiran kroz ovaj proces.
Druga dva maliciozna payload-a koriste se za ilegalno rudarenje kriptovaluta koristeći GPU resurse mašine. PhoenixMiner je malware za rudarenje Ethereum kriptovaluta, dok je lolMiner softver za rudarenje otvorenog koda koji se može koristiti za rudarenje dvije virtualne valute u isto vrijeme.
U još jednom slučaju legitimne zloupotrebe alata, Check Point upozorava na novu vrstu phishing napada koji koristi Google Looker Studio za kreiranje lažnih stranica za krađu identiteta kriptovaluta u pokušaju da se zaobiđu zaštite od lažiranja kao što su DKIM, DMARC i SPF.
“Hakeri ga koriste za kreiranje lažnih kripto stranica koje su dizajnirane za krađu novca i kredencijala”, rekao je istraživač sigurnosti Jeremy Fuchs.
“Ovo je dug put da se kaže da hakeri iskorištavaju Googleov autoritet. Služba za sigurnost e-pošte će razmotriti sve ove faktore i imati dobru dozu povjerenja da to nije phishing e-poruka i da zaista dolazi od Googlea.”
Izvor: The Hacker News
