Siber suçlular, kripto para madencileri ile grafik tasarımcıların bilgisayarlarını enfekte etmek için 'Gelişmiş Yükleyici' adlı meşru bir Windows aracından yararlanıyor.
Saldırganlar, muhtemelen siyah şapka arama motoru optimizasyon teknikleri aracılığıyla Adobe Illustrator, Autodesk 3DS Max ve Sketchup Pro gibi popüler 3D modelleme ve grafik tasarım yazılımı için yükleyicileri tanıtıyor.
Bununla birlikte, bu yükleyiciler, indiricileri uzaktan erişim truva atları (sıçanlar) ve kriptominasyon yükleri ile enfekte eden gizli kötü amaçlı komut dosyalarını içerir.
Tehdit aktörleri, grafik tasarımcıları, animatörler ve video editörlerinin, daha yüksek madencilik karma oranlarını destekleyen güçlü GPU'lara sahip bilgisayarları kullanma ve kriptojik çalışma işlemini daha karlı hale getirdikleri için bu özel hedeflere odaklanıyor.
Kampanya, bugün en az Kasım 2021'den beri devam ettiğini bildiren Cisco Talos tarafından keşfedildi.
Şu anda, kurbanların çoğu Fransa ve İsviçre'de bulunurken, Amerika Birleşik Devletleri, Kanada, Almanya, Cezayir ve Singapur'da da önemli sayıda enfeksiyon var.
Cisco'nun analistleri bu kampanyada kullanılan iki ayrı saldırı gözlemlediler.
Her iki durumda da, saldırganlar, kötü niyetli PowerShell ile dolu Windows için yükleyici dosyaları ve yükleyicinin lansmanında yazılımın "Özel Eylem" özelliği aracılığıyla yürütülen toplu komut dosyaları oluşturmak için Gelişmiş Yükleyiciyi kullanırlar.
İki saldırı yöntemi yürütülen komut dosyalarında, enfeksiyon zincirinin karmaşıklığı ve son yükler hedef cihaza düştü.
İlk yöntem, son yükü şifresini çözen bir PowerShell komut dosyası çalıştıran yinelenen bir görev ayarlamak için bir toplu komut dosyası (Core.bat) kullanır (M3_Mini_RAT).
İkinci saldırı yöntemi, PowerShell komut dosyalarını çalıştırmak için planlanmış görevler oluşturan Core.bat ve Win.bat adlı iki kötü amaçlı komut dosyası bırakır.
Win.bat dosyası tarafından yürütülen PowerShell, bir indirici komut dosyasını şifresini çözer ve bir yük (Phoenixminer veya LolMiner), ikinci bir PS komut dosyası (Core.bat programları için) ve başka bir şifreli dosya içeren bir fermuarlı arşiv getirir.
Bir arka kapı yükü sağlayan ilk yöntem, hedef sistemlere sağduyulu, uzun süreli erişimin birincil hedef olduğu durumlarda saldırganlar tarafından seçilebilir.
Kriptominerler kullanan ikinci saldırı yöntemi, daha yüksek bir tespit riski ile hızlı finansal kazanımlara yöneliktir.
M3_MINI_RAT yükü, saldırganlara uzaktan erişim özellikleri verir, bu da sistem keşiflerini gerçekleştirmelerine ve enfekte olmuş sisteme ek yükler yüklemelerini sağlar.
Sıçan aracı aşağıdaki işlevleri gerçekleştirebilir:
Diğer iki yük, Phoenixminer ve Lolminer, AMD, NVIDIA ve Intel (sadece Lolminer) grafik kartlarının hesaplama gücünü ele geçirerek mayın kripto para birimi.
Phoenixminer bir Ethash (ETH, vb.
Bu kampanyada tespit edilen Lolminer versiyonu, iki farklı kripto para biriminin eşzamanlı madenciliğini destekleyen 1.76'dır.
Phoenixminer yapılandırması GPU güç sınırını% 75'e ve Sistem Eğlence Kontrolü maksimum hızını% 65'e ayarlar.
Benzer kısıtlamalar, GPU gücünün% 75'ini kullanan ve sıcaklık 70 santigrat dereceye ulaşırsa madencilik duraklayan lolminer parametrelerinde görülür.
Bu, saldırganların çok fazla kaynak kullanarak tespit edilmekten kaçınmaya çalıştıklarını göstermektedir.
Bu kampanya için uzlaşma göstergelerinin tam bir listesi bu GitHub deposunda bulunabilir.
Mykings botnet hala aktif ve büyük miktarda para kazanıyor
Crypto Casino Stood.com sıcak cüzdan hacker'larına 41 milyon dolar kaybetti
Google Looker Studio, kripto para birimi kimlik avı saldırılarında istismar edildi
Atomik cüzdan hackleri, Crypto çalınan 35 milyon doların üzerinde yol açtı
Kroll Veri ihlali FTX, Blockfi, Genesis Alacaklılarının bilgilerini ortaya çıkarır
Kaynak: Bleeping Computer