- 13,853
- 20
- 8 Ноя 2022
Киберзлодеи целенаправленно ищут мощные видеокарты для повышения собственной прибыли.
Исследователи из Cisco Talos Для просмотра ссылки Войдиили Зарегистрируйся , что киберпреступники активно распространяют установщики популярных программ для 3D-моделирования и графического дизайна, таких как Autodesk 3ds Max, Adobe Illustrator и SketchUp Pro, как предполагают исследователи, с помощью техник чёрной оптимизации поисковых систем ( Black Hat SEO ).
Эти установщики содержат скрытые вредоносные скрипты, которые заражают компьютеры специалистов троянами с удалённым доступом ( RAT ) и криптомайнерами.
Злоумышленники фокусируются на этих конкретных целях, поскольку графические дизайнеры, аниматоры и видеоредакторы обычно используют компьютеры с мощными видеокартами, которые поддерживают более высокие хешрейты майнинга, делая операцию криптодобычи более прибыльной.
Как сообщили эксперты Cisco Talos, данная вредоносная кампания продолжается с ноября 2021 года. В настоящее время большинство жертв находятся во Франции и Швейцарии, но также есть значительное количество заражений в США, Канаде, Германии, Алжире и Сингапуре.
Аналитики наблюдали два различных метода атаки, используемых в этой кампании. В обоих случаях злоумышленники используют легитимный инструмент Windows под названием «Advanced Installer» для создания установочных файлов для Windows, упакованных с вредоносными скриптами PowerShell и batch .
Два метода атаки отличаются конкретными скриптами, сложностью цепочки заражения и конечными полезными нагрузками, которые попадают на скомпрометированное устройство.
Первый метод использует пакетный скрипт (core.bat), чтобы настроить повторяющуюся задачу запуска PowerShell-скрипта, который расшифровывает бэкдор под названием «M3_Mini_Rat». Данный бэкдор предоставляет злоумышленникам возможности удалённого доступа, позволяя им выполнять системную разведку и устанавливать дополнительные полезные нагрузки на заражённую систему.
Второй метод ведёт к установке криптомайнера PhoenixMiner или lolMiner. PhoenixMiner — это майнер Ethash (ETH, ETC, Musicoin, EXP, UBQ и т.д.), а lolMiner поддерживает несколько протоколов, включая Etchash, Autolykos2, Beam, Grin, Ae, ALPH, Flux, Equihash и другие.
Оба майнера используют лишь 75% мощности GPU и приостанавливают свою работу при достижении видеокартой температуры 70 градусов Цельсия. Так злоумышленники исключают заметное падение производительности заражённой системы, её перегрев и усиленную работу вентиляторов, по которой жертва может догадаться, что в системе засел криптомайнер.
Чтобы не стать жертвой подобных атак, эксперты рекомендуют скачивать программное обеспечение исключительно с официальных или хотя бы проверенных источников, использовать продвинутые антивирусные решения, а также регулярно обновлять операционную систему и установленные программы, поскольку обновления часто включают в себя исправления уязвимостей, которыми могут воспользоваться хакеры.
Соблюдение этих рекомендаций может значительно снизить риск стать жертвой подобных кибератак.
Исследователи из Cisco Talos Для просмотра ссылки Войди
Эти установщики содержат скрытые вредоносные скрипты, которые заражают компьютеры специалистов троянами с удалённым доступом ( RAT ) и криптомайнерами.
Злоумышленники фокусируются на этих конкретных целях, поскольку графические дизайнеры, аниматоры и видеоредакторы обычно используют компьютеры с мощными видеокартами, которые поддерживают более высокие хешрейты майнинга, делая операцию криптодобычи более прибыльной.
Как сообщили эксперты Cisco Talos, данная вредоносная кампания продолжается с ноября 2021 года. В настоящее время большинство жертв находятся во Франции и Швейцарии, но также есть значительное количество заражений в США, Канаде, Германии, Алжире и Сингапуре.
Аналитики наблюдали два различных метода атаки, используемых в этой кампании. В обоих случаях злоумышленники используют легитимный инструмент Windows под названием «Advanced Installer» для создания установочных файлов для Windows, упакованных с вредоносными скриптами PowerShell и batch .
Два метода атаки отличаются конкретными скриптами, сложностью цепочки заражения и конечными полезными нагрузками, которые попадают на скомпрометированное устройство.
Первый метод использует пакетный скрипт (core.bat), чтобы настроить повторяющуюся задачу запуска PowerShell-скрипта, который расшифровывает бэкдор под названием «M3_Mini_Rat». Данный бэкдор предоставляет злоумышленникам возможности удалённого доступа, позволяя им выполнять системную разведку и устанавливать дополнительные полезные нагрузки на заражённую систему.
Второй метод ведёт к установке криптомайнера PhoenixMiner или lolMiner. PhoenixMiner — это майнер Ethash (ETH, ETC, Musicoin, EXP, UBQ и т.д.), а lolMiner поддерживает несколько протоколов, включая Etchash, Autolykos2, Beam, Grin, Ae, ALPH, Flux, Equihash и другие.
Оба майнера используют лишь 75% мощности GPU и приостанавливают свою работу при достижении видеокартой температуры 70 градусов Цельсия. Так злоумышленники исключают заметное падение производительности заражённой системы, её перегрев и усиленную работу вентиляторов, по которой жертва может догадаться, что в системе засел криптомайнер.
Чтобы не стать жертвой подобных атак, эксперты рекомендуют скачивать программное обеспечение исключительно с официальных или хотя бы проверенных источников, использовать продвинутые антивирусные решения, а также регулярно обновлять операционную систему и установленные программы, поскольку обновления часто включают в себя исправления уязвимостей, которыми могут воспользоваться хакеры.
Соблюдение этих рекомендаций может значительно снизить риск стать жертвой подобных кибератак.
- Источник новости
- www.securitylab.ru
