Cibercriminosos estão usando uma ferramenta legítima do Windows chamada 'Advanced Installer' para infectar os computadores de designers gráficos com mineradores de criptomoedas.
Os agressores promovem instaladores para softwares populares de modelagem 3D e design gráfico, como Adobe Illustrator, Autodesk 3ds Max e SketchUp Pro, provavelmente através de técnicas de otimização de mecanismos de busca black hat.
No entanto, esses instaladores incluem scripts maliciosos ocultos que infectam quem baixa com trojans de acesso remoto (RATs) e payloads de mineração de criptomoedas.
Os criminosos estão focando nesses alvos específicos, pois designers gráficos, animadores e editores de vídeo são mais propensos a usar computadores com GPUs poderosas que suportam taxas de mineração mais altas, tornando a operação de criptojacking mais lucrativa.
A campanha foi descoberta pela Cisco Talos, que hoje informa que tem estado em curso desde pelo menos novembro de 2021.
Atualmente, a maioria das vítimas está localizada na França e Suíça, mas também há um número considerável de infecções nos Estados Unidos, Canadá, Alemanha, Argélia e Singapura.
Os analistas da Cisco observaram dois ataques distintos usados nesta campanha.
Em ambos os casos, os agressores usam o Advanced Installer para criar arquivos de instalação para Windows repletos de scripts maliciosos PowerShell e batch que são executados no lançamento do instalador através da função "Custom Action" do software.
Os dois métodos de ataque diferem nos scripts executados, na complexidade da cadeia de infecção e nos payloads finais deixadas no dispositivo alvo.
O primeiro método utiliza um script batch para configurar uma tarefa recorrente que executa um script PowerShell que descriptografa o payload final.
O segundo método de ataque solta dois scripts maliciosos, core.bat e win.bat, que configuram tarefas agendadas para executar scripts PowerShell.
O PowerShell executado pelo arquivo win.bat descriptografa um script de downloader e busca um arquivo ZIP contendo um payload (PhoenixMiner ou lolMiner), um segundo script PS e outro arquivo criptografado.
O primeiro método, que entrega um backdoor, poderia ser escolhido pelos atacantes em casos onde manter acesso discreto e prolongado aos sistemas alvo é o objetivo principal.
O segundo método de ataque, que emprega mineradores de criptomoedas, visa ganhos financeiros rápidos com um risco maior de detecção.
O payload M3_Mini_Rat fornece aos atacantes recursos de acesso remoto, permitindo-lhes realizar reconhecimento de sistema e instalar payloads adicionais no sistema infectado.
A ferramenta RAT pode realizar as seguintes funções:
Reconhecimento do sistema: coleta detalhes como nome do usuário, versão do sistema operacional, status do antivírus, status da rede e especificações de hardware.
Gerenciamento de processos: lista e gerencia processos em execução, incluindo capacidades de término.
Exploração do sistema de arquivos: enumera unidades lógicas e recupera detalhes de pastas específicas.
Comando e controle: usa uma conexão TCP para tarefas de administração remota e recebimento de comandos.
Gerenciamento de arquivos: lida com o download, verificação, renomeação e exclusão de arquivos, e pode executar binários maliciosos.
Transmissão de dados: envia dados, inclusive detalhes de reconhecimento, de volta para o servidor do atacante.
Verificações especiais: identifica processos específicos do servidor, como o centro de conexão do servidor Citrix.
Saída: oferece maneiras de sair com segurança do cliente e gerenciar seus fluxos de dados.
Os outros dois payloads, PhoenixMiner e lolMiner, mineram criptomoedas sequestrando o poder computacional de placas gráficas AMD, Nvidia e Intel (apenas lolMiner).
PhoenixMiner é um minerador Ethash (ETH, ETC, Musicoin, EXP, UBQ, etc.), enquanto lolMiner suporta múltiplos protocolos incluindo Etchash, Autolykos2, Beam, Grin, Ae, ALPH, Flux, Equihash, Kaspa, Nexa, Ironfish e outros.
A versão do lolMiner encontrada nesta campanha é a 1.76, que suporta a mineração simultânea de duas criptomoedas diferentes.
A configuração do PhoenixMiner define o limite de energia da GPU em 75% e a velocidade máxima de controle do sistema em 65%.
Restrições semelhantes são vistas nos parâmetros do lolMiner, que usam 75% da potência da GPU e pausam a mineração se a temperatura atingir 70 graus Celsius.
Isso indica que os atacantes tentam evitar ser detectados ao usar muitos recursos.
Uma lista completa dos indicadores de comprometimento para esta campanha pode ser encontrada neste repositório do GitHub.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...