Una herramienta legítima de Windows utilizada para crear paquetes de software llamada Instalador avanzado Los actores de amenazas están abusando de él para lanzar malware de minería de criptomonedas en máquinas infectadas desde al menos noviembre de 2021.
«El atacante utiliza Instalador avanzado para empaquetar otros instaladores de software legítimos, como Adobe Illustrator, Autodesk 3ds Max y SketchUp Pro, con scripts maliciosos y utiliza la función Acciones personalizadas del instalador avanzado para hacer que los instaladores de software ejecuten los scripts maliciosos», dijo Chetan Raghuprasad, investigador de Cisco Talos. dicho en un informe técnico.
La naturaleza de las aplicaciones troyanizadas indica que las víctimas probablemente abarcan los sectores de arquitectura, ingeniería, construcción, manufactura y entretenimiento. Los instaladores de software utilizan predominantemente el idioma francés, una señal de que se está señalando a los usuarios de habla francesa.
Este campaña es estratégico porque estas industrias dependen de computadoras con alta potencia de unidad de procesamiento de gráficos (GPU) para sus operaciones diarias, lo que las convierte en objetivos lucrativos para el criptojacking.
El análisis de Cisco de los datos de solicitud de DNS enviados a la infraestructura del atacante muestra que la huella de victimología se extiende por Francia y Suiza, seguida de infecciones esporádicas en EE. UU., Canadá, Argelia, Suecia, Alemania, Túnez, Madagascar, Singapur y Vietnam.
Los ataques culminan con la implementación de un M3_Mini_Rat, un script de PowerShell que probablemente actúa como una puerta trasera para descargar y ejecutar amenazas adicionales, así como múltiples familias de malware de minería de criptomonedas como PhoenixMiner y lolMiner.
En cuanto al vector de acceso inicial, se sospecha que se pueden haber empleado técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para entregar los instaladores de software manipulados a las máquinas de la víctima.
El instalador, una vez iniciado, activa una cadena de ataque de varias etapas que elimina el código auxiliar del cliente M3_Mini_Rat y los archivos binarios del minero.
«El cliente M3_Mini_Rat es un script de PowerShell con capacidades de administración remota que se centra principalmente en realizar reconocimiento del sistema y descargar y ejecutar otros archivos binarios maliciosos», dijo Raghuprasad.
El troyano está diseñado para contactar con un servidor remoto, aunque actualmente no responde, lo que dificulta determinar la naturaleza exacta del malware que pudo haberse distribuido a través de este proceso.
Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad
¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad
Las otras dos cargas útiles maliciosas se utilizan para extraer criptomonedas de forma ilícita utilizando los recursos GPU de la máquina. PhoenixMiner es un malware de minería de criptomonedas Ethereum, mientras que lolMiner es un software de minería de código abierto que se puede utilizar para extraer dos monedas virtuales al mismo tiempo.
En otro caso más de abuso de herramientas legítimas, Check Point advierte sobre un nuevo tipo de ataque de phishing que aprovecha Google Looker Studio para crear sitios falsos de phishing de criptomonedas en un intento de eludir las protecciones.
«Los piratas informáticos lo están utilizando para crear páginas criptográficas falsas diseñadas para robar dinero y credenciales», dijo el investigador de seguridad Jeremy Fuchs. dicho.
«Esta es una manera larga de decir que los piratas informáticos están aprovechando la autoridad de Google. Un servicio de seguridad de correo electrónico observará todos estos factores y tendrá mucha confianza en que no es un correo electrónico de phishing y que proviene de Google».