Киберпреступники используют легитимный инструмент Windows под названием "Advanced Installer" для заражения компьютеров графических дизайнеров криптовалютными майнерами.
Злоумышленники продвигают инсталляторы популярных программ для 3D-моделирования и графического дизайна, таких как Adobe Illustrator, Autodesk 3ds Max и SketchUp Pro, вероятно, используя черные методы поисковой оптимизации.
Однако эти инсталляторы содержат скрытые вредоносные скрипты, которые заражают загружающих их пользователей троянами удаленного доступа (RAT) и криптомайнинговыми полезными нагрузками.
Угрозы нацелены именно на эти цели, поскольку графические дизайнеры, аниматоры и видеомонтажеры чаще всего используют компьютеры с мощными графическими процессорами, поддерживающими более высокий хэшрейт майнинга, что делает операцию криптоджекинга более прибыльной.
Кампания была обнаружена компанией Cisco Talos, которая сегодня сообщает, что она ведется как минимум с ноября 2021 года.
В настоящее время большинство жертв находится во Франции и Швейцарии, также отмечается значительное число заражений в США, Канаде, Германии, Алжире и Сингапуре.
Два метода атаки
Аналитики Cisco отметили две различные атаки, используемые в этой кампании.
В обоих случаях злоумышленники используют Advanced Installer для создания установочных файлов для Windows, содержащих вредоносные PowerShell- и пакетные скрипты, которые выполняются при запуске программы установки через функцию "Пользовательское действие".
Эти два метода атаки отличаются выполняемыми сценариями, сложностью цепочки заражения и конечной полезной нагрузкой, попадающей на целевое устройство.
Первый метод использует пакетный скрипт (core.bat) для установки повторяющегося задания, запускающего сценарий PowerShell, который расшифровывает конечную полезную нагрузку (M3_Mini_Rat).
Второй метод атаки использует два вредоносных скрипта, core.bat и win.bat, которые устанавливают запланированные задачи для запуска сценариев PowerShell.
PowerShell, выполняемый файлом win.bat, расшифровывает скрипт-загрузчик и загружает ZIP-архив, содержащий полезную нагрузку (PhoenixMiner или lolMiner), второй PS-скрипт (для которого core.bat составляет расписание) и еще один зашифрованный файл.
Первый способ, предполагающий доставку полезной нагрузки в виде бэкдора, может быть выбран злоумышленниками в тех случаях, когда основной целью является обеспечение скрытого и длительного доступа к целевым системам.
Второй метод атаки, использующий криптомайнеры, ориентирован на получение быстрой финансовой выгоды при повышенном риске обнаружения.
Полезные нагрузки майнинга и RAT
Полезная нагрузка M3_Mini_Rat предоставляет злоумышленникам возможности удаленного доступа, что позволяет им проводить разведку системы и устанавливать на зараженную систему дополнительные полезные нагрузки.
RAT-инструмент может выполнять следующие функции:
- Разведка системы: Сбор таких данных, как имя пользователя, версия ОС, состояние антивируса, состояние сети и характеристики оборудования.
- Управление процессами: Перечисление и управление запущенными процессами, включая возможность их завершения.
- Исследование файловой системы: Перечисление логических дисков и получение информации о конкретных папках.
- Command & Control: Использует TCP-соединение для задач удаленного администрирования и получения команд.
- Управление файлами: Выполняет загрузку, проверку, переименование и удаление файлов, а также может исполнять вредоносные исполняемые файлы.
- Передача данных: Отправляет данные, включая сведения о разведке, обратно на сервер злоумышленника.
- Специальные проверки: Идентифицирует определенные серверные процессы, например сервер центра соединений Citrix.
- Выход: Предлагает способы безопасного выхода из клиента и управления его потоками данных.
Две другие полезные нагрузки, PhoenixMiner и lolMiner, добывают криптовалюту, используя вычислительные мощности видеокарт AMD, Nvidia и Intel (только для lolMiner).
PhoenixMiner - это майнер Ethash (ETH, ETC, Musicoin, EXP, UBQ и др.), а lolMiner поддерживает множество протоколов, включая Etchash, Autolykos2, Beam, Grin, Ae, ALPH, Flux, Equihash, Kaspa, Nexa, Ironfish и др.
Версия lolMiner, замеченная в этой кампании, - 1.76, которая поддерживает одновременный майнинг двух разных криптовалют.
В конфигурации PhoenixMiner ограничение мощности GPU установлено на уровне 75%, а максимальная скорость вращения системного fun-контроля - на уровне 65%.
Аналогичные ограничения наблюдаются и в параметрах lolMiner, который использует 75% мощности GPU и приостанавливает майнинг, если температура достигает 70 градусов Цельсия.
Это свидетельствует о том, что злоумышленники пытаются избежать обнаружения, используя слишком много ресурсов.
Полный список индикаторов компрометации для данной кампании можно найти в этом репозитории GitHub.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!