根据思科 Talos Intelligence 的分析,自 2021 年 11 月以来,黑客一直在使用 Windows 工具投放加密货币挖矿恶意软件 。攻击者利用 Windows Advanced Installer(一种帮助开发人员打包其他软件安装程序(例如 Adobe Illustrator)的应用程序)在受感染的计算机上执行恶意脚本。
根据 9 月 7 日的博客文章,受攻击影响的软件安装程序主要用于 3D 建模和图形设计。此外,恶意软件活动中使用的大多数软件安装程序都是用法语编写的。分析解释说,调查结果表明,“受害者可能横跨各个垂直行业,包括法语为主的国家的建筑、工程、建造、制造和娱乐业”。
该帖子根据发送到的 DNS 请求数据指出,这些攻击主要影响法国和瑞士的用户,其他国家也有一些感染,包括美国、加拿大、阿尔及利亚、瑞典、德国、突尼斯、马达加斯加、新加坡和越南。攻击者的命令和控制主机。
Talos 发现的非法加密货币挖矿活动涉及部署恶意 PowerShell 和 Windows 批处理脚本来执行命令并在受害者的计算机中建立后门。具体来说,PowerShell 因在系统内存而不是硬盘驱动器中运行而闻名,这使得识别攻击变得更加困难。
一旦安装后门,攻击者就会执行其他威胁,例如以太坊加密挖矿程序 PhoenixMiner 和多币挖矿威胁 lolMiner。这些恶意脚本是使用高级安装程序的自定义操作功能执行的,该功能允许用户预定义自定义安装任务。最终的有效负载是 PhoenixMiner 和 lolMiner,它们是依赖计算机 GPU 功能的公开矿机。
使用加密货币挖矿恶意软件被称为加密劫持,它涉及在用户不知情或未经用户许可的情况下在设备上安装加密货币挖矿代码,以非法开采加密货币。机器上可能运行挖矿恶意软件的迹象包括设备过热和性能不佳。
使用恶意软件家族劫持设备来挖掘或窃取加密货币并不是什么新鲜事。前智能手机巨头黑莓最近发现了 积极针对至少三个行业的恶意软件脚本,包括金融服务、医疗保健和政府。
热门推荐
相关文章
