Uma ferramenta legítima do Windows usada para criar pacotes de software chamada Advanced Installer está sendo abusada por atores de ameaças para distribuir malware de mineração de criptomoedas em máquinas infectadas desde pelo menos novembro de 2021.
"O invasor usa o Advanced Installer para empacotar outros instaladores de software legítimos, como Adobe Illustrator, Autodesk 3ds Max e SketchUp Pro, com scripts maliciosos e usa o recurso Ações Personalizadas do Advanced Installer para fazer os instaladores de software executar os scripts maliciosos", disse o pesquisador Chetan Raghuprasad da Cisco Talos em um relatório técnico.
A natureza das aplicações trojanizadas indica que as vítimas provavelmente englobam os setores de arquitetura, engenharia, construção, manufatura e entretenimento.
Os instaladores de software usam predominantemente a língua francesa, um sinal de que os usuários de língua francesa estão sendo visados.
Essa campanha é estratégica, pois essas indústrias dependem de computadores com alta potência de Unidade de Processamento Gráfico (GPU) para suas operações diárias, tornando-as alvos lucrativos para o cripto sequestro.
A análise da Cisco dos dados de solicitação DNS enviados para a infraestrutura do invasor mostra que a pegada de vítimas abrange França e Suíça, seguidas por infecções esporádicas nos EUA, Canadá, Argélia, Suécia, Alemanha, Tunísia, Madagascar, Cingapura e Vietnã.
Os ataques culminam na implantação de um M3_Mini_Rat, um script PowerShell que provavelmente atua como um backdoor para baixar e executar ameaças adicionais, além de várias famílias de malware de mineração de criptomoedas como PhoenixMiner e lolMiner.
Quanto ao vetor de acesso inicial, suspeita-se que técnicas de otimização de mecanismos de busca (SEO) possam ter sido empregadas para entregar os instaladores de software comprometidos nas máquinas das vítimas.
O instalador, uma vez lançado, ativa uma cadeia de ataque em várias etapas que distribui o stub do cliente M3_Mini_Rat e os binários do minerador.
"O cliente M3_Mini_Rat é um script PowerShell com capacidades de administração remota que se concentra principalmente em realizar reconhecimento do sistema e baixar e executar outros binários maliciosos", disse Raghuprasad.
O trojan é projetado para contatar um servidor remoto, embora atualmente esteja inativo, tornando difícil determinar a natureza exata do malware que pode ter sido distribuído por meio desse processo.
Os dois outros payloads maliciosos são usados para minerar criptomoedas ilicitamente usando os recursos de GPU da máquina.
PhoenixMiner é um malware de mineração de criptomoedas Ethereum, enquanto lolMiner é um software de mineração de código aberto que pode ser usado para minerar duas moedas virtuais ao mesmo tempo.
Em mais um caso de abuso de ferramenta legítima, a Check Point está alertando sobre um novo tipo de ataque de phishing que aproveita o Google Looker Studio para criar sites falsos de phishing de criptomoedas na tentativa de contornar as proteções.
"Hackers estão utilizando-o para criar páginas de cripto falsas que são projetadas para roubar dinheiro e credenciais", disse o pesquisador de segurança Jeremy Fuchs.
"Isso é uma maneira de dizer que os hackers estão se aproveitando da autoridade do Google.
Um serviço de segurança de email analisará todos esses fatores e terá uma boa dose de confiança de que não é um email de phishing e que vem do Google."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...