Киберзлодеи целенаправленно ищут мощные видеокарты для повышения собственной прибыли.
Исследователи из Cisco Talos выяснили , что киберпреступники активно распространяют установщики популярных программ для 3D-моделирования и графического дизайна, таких как Autodesk 3ds Max, Adobe Illustrator и SketchUp Pro, как предполагают исследователи, с помощью техник чёрной оптимизации поисковых систем (Black Hat SEO).
Эти установщики содержат скрытые вредоносные скрипты, которые заражают компьютеры специалистов троянами с удалённым доступом (RAT) и криптомайнерами.
Злоумышленники фокусируются на этих конкретных целях, поскольку графические дизайнеры, аниматоры и видеоредакторы скорее всего используют компьютеры с мощными видеокартами, которые поддерживают более высокие хешрейты майнинга, делая операцию криптодобычи более прибыльной.
Как сообщили эксперты Cisco Talos, данная вредоносная кампания продолжается с ноября 2021 года. В настоящее время большинство жертв находятся во Франции и Швейцарии, а также есть значительное количество заражений в США, Канаде, Германии, Алжире и Сингапуре.
Аналитики наблюдали два различных метода атаки, используемых в этой кампании. В обоих случаях злоумышленники используют легитимный инструмент Windows под названием «Advanced Installer» для создания установочных файлов для Windows, упакованных с вредоносными скриптами PowerShell и batch.
Два метода атаки отличаются конкретными скриптами, сложностью цепочки заражения и конечными полезными нагрузками, которые попадают на целевое устройство.
Первый метод использует пакетный скрипт (core.bat), чтобы настроить повторяющуюся задачу запуска PowerShell-скрипта, который расшифровывает бэкдор под названием «M3_Mini_Rat». Второй метод ведёт к установке криптомайнера PhoenixMiner или lolMiner.
Бэкдор «M3_Mini_Rat» предоставляет злоумышленникам возможности удалённого доступа, позволяя им выполнять системную разведку и устанавливать дополнительные полезные нагрузки на заражённую систему.
PhoenixMiner — это майнер Ethash (ETH, ETC, Musicoin, EXP, UBQ и т.д.), а lolMiner поддерживает несколько протоколов, включая Etchash, Autolykos2, Beam, Grin, Ae, ALPH, Flux, Equihash и другие.
Оба майнера используют лишь 75% мощности GPU и приостанавливают свою работу при достижении видеокартой температуры 70 градусов Цельсия. Так злоумышленники исключают заметное падение производительности заражённой системы, её перегрев и усиленную работу вентиляторов, по которой жертва может догадаться, что в системе засел криптомайнер.
Чтобы не стать жертвой подобных атак, эксперты рекомендуют скачивать программное обеспечение исключительно с официальных или проверенных источников, использовать продвинутые антивирусные решения, а также регулярно обновлять операционную систему и установленные программы, поскольку обновления часто включают в себя исправления уязвимостей, которыми могут воспользоваться хакеры.
Соблюдение этих рекомендаций может значительно снизить риск становления жертвой подобных кибератак.
Источник: securitylab