Криптомайнинговые атаки на Windows нацелены на мощные графические процессоры графических дизайнеров

Киберпреступники используют легитимный инструмент Windows под названием "Advanced Installer" для заражения компьютеров графических дизайнеров криптовалютными майнерами.

Злоумышленники продвигают инсталляторы популярных программ для 3D-моделирования и графического дизайна, таких как Adobe Illustrator, Autodesk 3ds Max и SketchUp Pro, вероятно, используя черные методы поисковой оптимизации.

Однако эти инсталляторы содержат скрытые вредоносные скрипты, которые заражают загружающих их пользователей троянами удаленного доступа (RAT) и криптомайнинговыми полезными нагрузками.

Угрозы нацелены именно на эти цели, поскольку графические дизайнеры, аниматоры и видеомонтажеры чаще всего используют компьютеры с мощными графическими процессорами, поддерживающими более высокий хэшрейт майнинга, что делает операцию криптоджекинга более прибыльной.

Кампания была обнаружена компанией Cisco Talos, которая сегодня сообщает, что она ведется как минимум с ноября 2021 года.

В настоящее время большинство жертв находится во Франции и Швейцарии, также отмечается значительное число заражений в США, Канаде, Германии, Алжире и Сингапуре.

Два метода атаки

Аналитики Cisco отметили две различные атаки, используемые в этой кампании.

В обоих случаях злоумышленники используют Advanced Installer для создания установочных файлов для Windows, содержащих вредоносные PowerShell- и пакетные скрипты, которые выполняются при запуске программы установки через функцию "Пользовательское действие".

Эти два метода атаки отличаются выполняемыми сценариями, сложностью цепочки заражения и конечной полезной нагрузкой, попадающей на целевое устройство.

Первый метод использует пакетный скрипт (core.bat) для установки повторяющегося задания, запускающего сценарий PowerShell, который расшифровывает конечную полезную нагрузку (M3_Mini_Rat).

Второй метод атаки использует два вредоносных скрипта, core.bat и win.bat, которые устанавливают запланированные задачи для запуска сценариев PowerShell.

PowerShell, выполняемый файлом win.bat, расшифровывает скрипт-загрузчик и загружает ZIP-архив, содержащий полезную нагрузку (PhoenixMiner или lolMiner), второй PS-скрипт (для которого core.bat составляет расписание) и еще один зашифрованный файл.

Первый способ, предполагающий доставку полезной нагрузки в виде бэкдора, может быть выбран злоумышленниками в тех случаях, когда основной целью является обеспечение скрытого и длительного доступа к целевым системам.

Второй метод атаки, использующий криптомайнеры, ориентирован на получение быстрой финансовой выгоды при повышенном риске обнаружения.

Полезные нагрузки майнинга и RAT

Полезная нагрузка M3_Mini_Rat предоставляет злоумышленникам возможности удаленного доступа, что позволяет им проводить разведку системы и устанавливать на зараженную систему дополнительные полезные нагрузки.

RAT-инструмент может выполнять следующие функции:

• Разведка системы: Сбор таких данных, как имя пользователя, версия ОС, состояние антивируса, состояние сети и характеристики оборудования.
• Управление процессами: Перечисление и управление запущенными процессами, включая возможность их завершения.
• Исследование файловой системы: Перечисление логических дисков и получение информации о конкретных папках.
• Command & Control: Использует TCP-соединение для задач удаленного администрирования и получения команд.
• Управление файлами: Выполняет загрузку, проверку, переименование и удаление файлов, а также может исполнять вредоносные исполняемые файлы.
• Передача данных: Отправляет данные, включая сведения о разведке, обратно на сервер злоумышленника.
• Специальные проверки: Идентифицирует определенные серверные процессы, например сервер центра соединений Citrix.
• Выход: Предлагает способы безопасного выхода из клиента и управления его потоками данных.

Две другие полезные нагрузки, PhoenixMiner и lolMiner, добывают криптовалюту, используя вычислительные мощности видеокарт AMD, Nvidia и Intel (только для lolMiner).

PhoenixMiner - это майнер Ethash (ETH, ETC, Musicoin, EXP, UBQ и др.), а lolMiner поддерживает множество протоколов, включая Etchash, Autolykos2, Beam, Grin, Ae, ALPH, Flux, Equihash, Kaspa, Nexa, Ironfish и др.

Версия lolMiner, замеченная в этой кампании, - 1.76, которая поддерживает одновременный майнинг двух разных криптовалют.

В конфигурации PhoenixMiner ограничение мощности GPU установлено на уровне 75%, а максимальная скорость вращения системного fun-контроля - на уровне 65%.

Аналогичные ограничения наблюдаются и в параметрах lolMiner, который использует 75% мощности GPU и приостанавливает майнинг, если температура достигает 70 градусов Цельсия.

Это свидетельствует о том, что злоумышленники пытаются избежать обнаружения, используя слишком много ресурсов.

Полный список индикаторов компрометации для данной кампании можно найти в этом репозитории GitHub.

По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!