Imagem: meio da jornada
Os cibercriminosos estão aproveitando uma ferramenta legítima do Windows chamada ‘Advanced Installer’ para infectar os computadores dos designers gráficos com mineradores de criptomoedas.
Os invasores promovem instaladores de softwares populares de modelagem 3D e design gráfico, como Adobe Illustrator, Autodesk 3ds Max e SketchUp Pro, provavelmente por meio de técnicas de otimização de mecanismo de pesquisa black hat.
No entanto, esses instaladores incluem scripts maliciosos ocultos que infectam os downloaders com trojans de acesso remoto (RATs) e cargas de criptografia.
Os atores da ameaça estão se concentrando nesses alvos específicos, já que designers gráficos, animadores e editores de vídeo são mais propensos a usar computadores com GPUs poderosas que suportam taxas de hash de mineração mais altas, tornando a operação de cryptojacking mais lucrativa.
A campanha foi descoberta pelo Cisco Talos, que hoje informa que está em andamento pelo menos desde novembro de 2021.
Atualmente, a maioria das vítimas está localizada na França e na Suíça, embora também haja um número notável de infecções nos Estados Unidos, Canadá, Alemanha, Argélia e Singapura.
Mapa de calor das vítimas (Cisco)
Dois métodos de ataque
Os analistas da Cisco observaram dois ataques distintos usados nesta campanha.
Em ambos os casos, os invasores usam o Advanced Installer para criar arquivos de instalação para Windows repletos de PowerShell malicioso e scripts em lote que são executados na inicialização do instalador por meio do recurso “Ação personalizada” do software.
Os dois métodos de ataque diferem nos scripts executados, na complexidade da cadeia de infecção e nas cargas finais descartadas no dispositivo alvo.
O primeiro método usa um script em lote (core.bat) para configurar uma tarefa recorrente executando um script do PowerShell que descriptografa a carga final (M3_Mini_Rat).
Primeiro método de ataque (Cisco)
O segundo método de ataque descarta dois scripts maliciosos, core.bat e win.bat, que configuram tarefas agendadas para executar scripts do PowerShell.
O PowerShell executado pelo arquivo win.bat descriptografa um script de download e busca um arquivo ZIP contendo uma carga útil (PhoenixMiner ou lolMiner), um segundo script PS (para o qual core.bat agenda) e outro arquivo criptografado.
Segundo método de ataque (Cisco)
O primeiro método, que fornece uma carga backdoor, pode ser escolhido pelos invasores nos casos em que manter o acesso discreto e prolongado aos sistemas alvo é o objetivo principal.
O segundo método de ataque, que emprega criptomineradores, é voltado para ganhos financeiros rápidos com maior risco de detecção.
Cargas úteis de mineração e RAT
A carga M3_Mini_Rat fornece aos invasores recursos de acesso remoto, permitindo-lhes realizar o reconhecimento do sistema e instalar cargas adicionais no sistema infectado.
A ferramenta RAT pode executar as seguintes funções:
Reconhecimento do sistema: coleta detalhes como nome de usuário, versão do sistema operacional, status do antivírus, status da rede e especificações de hardware.
Gerenciamento de processos: lista e gerencia processos em execução, incluindo recursos de encerramento.
Exploração do sistema de arquivos: enumera unidades lógicas e recupera detalhes de pastas específicas.
Comando e Controle: Usa uma conexão TCP para tarefas de administração remota e recebimento de comandos.
Gerenciamento de arquivos: controla o download, a verificação, a renomeação e a exclusão de arquivos e pode executar binários maliciosos.
Transmissão de Dados: Envia dados, incluindo detalhes de reconhecimento, de volta ao servidor do invasor.
Verificações especiais: identifica processos de servidor específicos, como o servidor do centro de conexão Citrix.
Saída: oferece maneiras de sair do cliente com segurança e gerenciar seus fluxos de dados.
M3_Mini_Rat carregando uma carga diretamente na memória (Cisco)
As outras duas cargas úteis, PhoenixMiner e lolMiner, mineram criptomoedas sequestrando o poder computacional das placas gráficas AMD, Nvidia e Intel (somente lolMiner).
PhoenixMiner é um minerador Ethash (ETH, ETC, Musicoin, EXP, UBQ, etc.), enquanto lolMiner suporta vários protocolos, incluindo Etchash, Autolykos2, Beam, Grin, Ae, ALPH, Flux, Equihash, Kaspa, Nexa, Ironfish e outros.
A versão do lolMiner identificada nesta campanha é a 1.76, que suporta mineração simultânea de duas criptomoedas diferentes.
A configuração do PhoenixMiner define o limite de potência da GPU para 75% e a velocidade máxima do controle divertido do sistema para 65%.
Restrições semelhantes são vistas nos parâmetros do lolMiner, que usa 75% da potência da GPU e pausa a mineração se a temperatura atingir 70 graus Celsius.
Isso indica que os invasores tentam evitar serem detectados usando muitos recursos.
Uma lista completa dos indicadores de comprometimento desta campanha pode ser encontrada neste repositório do GitHub.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/windows-cryptomining-attacks-target-graphic-designers-high-powered-gpus/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
Grupo No Whatsapp,
App Boletim Tec 2.0 e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #ataques #de #criptografia #do #windows #têm #como #alvo #gpus #de #alta #potência #de #designers #gráficos
Postar um comentário