Yazılım paketleri oluşturmak için kullanılan meşru bir Windows aracıdır. Gelişmiş Yükleyici En az Kasım 2021’den bu yana, tehdit aktörleri tarafından virüslü makinelere kripto para madenciliği amaçlı kötü amaçlı yazılım bırakmak için istismar ediliyor.
“Saldırganın kullandığı Gelişmiş Yükleyici Cisco Talos araştırmacısı Chetan Raghuprasad, Adobe Illustrator, Autodesk 3ds Max ve SketchUp Pro gibi diğer meşru yazılım yükleyicilerini kötü amaçlı komut dosyalarıyla paketlemek ve yazılım yükleyicilerinin kötü amaçlı komut dosyalarını yürütmesini sağlamak için Gelişmiş Yükleyici’nin Özel Eylemler özelliğini kullandığını söylüyor. söz konusu teknik bir raporda.
Truva atı haline getirilen uygulamaların niteliği, kurbanların büyük olasılıkla mimarlık, mühendislik, inşaat, imalat ve eğlence sektörlerini kapsadığını gösteriyor. Yazılım yükleyicileri ağırlıklı olarak Fransızca dilini kullanıyor, bu da Fransızca konuşan kullanıcıların dışlandığının bir işareti.
Bu kampanya Bu endüstrilerin günlük operasyonları için yüksek Grafik İşleme Birimi (GPU) gücüne sahip bilgisayarlara güvenmeleri nedeniyle stratejiktir ve bu da onları kripto para hırsızlığı için kazançlı hedefler haline getirir.
Cisco’nun saldırganın altyapısına gönderilen DNS isteği verileri üzerinde yaptığı analiz, mağduriyet ayak izinin Fransa ve İsviçre’yi kapsadığını, ardından ABD, Kanada, Cezayir, İsveç, Almanya, Tunus, Madagaskar, Singapur ve Vietnam’daki ara sıra enfeksiyonların geldiğini gösteriyor.
Saldırılar, muhtemelen ek tehditleri indirmek ve yürütmek için bir arka kapı görevi gören bir PowerShell betiği olan M3_Mini_Rat’ın yanı sıra PhoenixMiner ve lolMiner gibi birden fazla kripto para madenciliği kötü amaçlı yazılım ailesinin konuşlandırılmasıyla sonuçlanıyor.
İlk erişim vektörüne gelince, hileli yazılım yükleyicilerini kurbanın makinelerine ulaştırmak için arama motoru optimizasyonu (SEO) zehirleme tekniklerinin kullanılmış olabileceğinden şüpheleniliyor.
Yükleyici, başlatıldığında M3_Mini_Rat istemci saplamasını ve madenci ikili dosyalarını bırakan çok aşamalı bir saldırı zincirini etkinleştirir.
Raghuprasad, “M3_Mini_Rat istemcisi, esas olarak sistem keşfi gerçekleştirmeye ve diğer kötü amaçlı ikili dosyaları indirip çalıştırmaya odaklanan, uzaktan yönetim özelliklerine sahip bir PowerShell betiğidir” dedi.
Truva atı, uzak bir sunucuyla bağlantı kurmak üzere tasarlanmıştır, ancak şu anda yanıt vermemektedir ve bu işlem yoluyla dağıtılmış olabilecek kötü amaçlı yazılımın kesin yapısının belirlenmesini zorlaştırmaktadır.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Diğer iki kötü amaçlı veri, makinenin GPU kaynaklarını kullanarak yasadışı bir şekilde kripto para birimi madenciliği yapmak için kullanılıyor. PhoenixMiner bir Ethereum kripto para madenciliği kötü amaçlı yazılımıdır, lolMiner ise açık kaynaklı madencilik yazılımı Aynı anda iki sanal para biriminin madenciliği için kullanılabilir.
Aracın yasal olarak kötüye kullanıldığı bir başka vakada Check Point, korumalardan kaçınmak amacıyla sahte kripto para birimi kimlik avı siteleri oluşturmak için Google Looker Studio’dan yararlanan yeni bir kimlik avı saldırısı türü konusunda uyarıda bulunuyor.
Güvenlik araştırmacısı Jeremy Fuchs, “Bilgisayar korsanları bunu para ve kimlik bilgilerini çalmak için tasarlanmış sahte kripto sayfaları oluşturmak için kullanıyor” dedi. söz konusu.
“Bu, bilgisayar korsanlarının Google’ın otoritesinden yararlandığını söylemenin uzun bir yoludur. Bir e-posta güvenlik hizmeti tüm bu faktörleri inceleyecek ve bunun bir kimlik avı e-postası olmadığına ve Google’dan geldiğine dair oldukça güven duyacaktır.”
