Security

Οι επιθέσεις κρυπτονομίας των Windows στοχεύουν τις υψηλής ισχύος GPU των γραφιστών

By

Marizas Dimitris

On

Σεπ 8, 2023

Εικόνα: Midjourney

Οι εγκληματίες του

κυβερνοχώρο

υ αξιοποιούν ένα νόμιμο εργαλείο των Windows που ονομάζεται «Advanced Installer» για να μολύνουν τους υπολογιστές των γραφιστών με εξορύκτες κρυπτονομισμάτων.

Οι εισβολείς προωθούν προγράμματα εγκατάστασης δημοφιλών λογισμικών τρισδιάστατης μοντελοποίησης και γραφικής σχεδίασης όπως το Adobe Illustrator, το Autodesk 3ds Max και το SketchUp Pro, πιθανότατα μέσω τεχνικών βελ

τι

στοποίησης μηχανών αναζήτησης με μαύρο καπέλο.

Ωστόσο, αυτά τα προγράμματα εγκατάστασης περιλαμβάνουν κρυφά κακόβουλα σενάρια που μολύνουν προγράμματα λήψης με trojans απομακρυσμένης πρόσβασης (RAT) και ωφέλιμα φορτία cryptomining.

Οι φορείς απειλών εστιάζουν σε αυτούς τους συγκεκριμένους στόχους, καθώς οι σχεδιαστές γραφικών, οι εμψυχωτές και οι επεξεργαστές βίντεο είναι πιο πιθανό να χρησιμοποιούν υπολογιστές με ισχυρές GPU που υποστηρίζουν υψηλότερα ποσοστά κατακερματισμού εξόρυξης, καθιστώντας τη λειτουργία

cryptojacking

πιο κερδοφόρα.

Η καμπάνια ανακαλύφθηκε από

Cisco Talos

το οποίο σήμερα αναφέρει ότι βρίσκεται σε εξέλιξη τουλάχιστον από τον Νοέμβριο του 2021.

Επί του παρόντος, τα περισσότερα από τα θύματα εντοπίζονται στη Γαλλία και την Ελβετία, ενώ υπάρχει επίσης ένας αξιοσημείωτος αριθμός λοιμώξεων στις Ηνωμένες Πολιτείες, τον Καναδά, τη Γερμανία, την Αλγερία και τη Σιγκαπούρη.

, Οι επιθέσεις κρυπτονομίας των Windows στοχεύουν τις υψηλής ισχύος GPU των γραφιστών, TechWar.gr — **Χάρτης θερμότητας θυμάτων**

(

Cisco

)

Δύο μέθοδοι επίθεσης

Οι αναλυτές της Cisco παρατήρησαν δύο διακριτές επιθέσεις που χρησιμοποιούνται σε αυτήν την καμπάνια.

Και στις δύο περιπτώσεις, οι εισβολείς χρησιμοποιούν το Advanced Installer για να δημιουργήσουν αρχεία εγκατάστασης για Windows γεμάτα με κακόβουλο PowerShell και δέσμες ενεργειών που εκτελούνται κατά την εκκίνηση του προγράμματος εγκατάστασης μέσω της δυνατότητας “Προσαρμοσμένη ενέργεια” του λογισμικού.

Οι δύο μέθοδοι επίθεσης διαφέρουν ως προς τα σενάρια που εκτελούνται, την πολυπλοκότητα της αλυσίδας μόλυνσης και τα τελικά ωφέλιμα φορτία που πέφτουν στη συσκευή-στόχο.

Η πρώτη μέθοδος χρησιμοποιεί ένα σενάριο δέσμης (core.bat) για να ρυθμίσει μια

επα

ναλαμβανόμενη εργασία που εκτελεί μια δέσμη ενεργειών PowerShell που αποκρυπτογραφεί το τελικό ωφέλιμο φορτίο (M3_Mini_Rat).

Η δεύτερη μέθοδος επίθεσης απορρίπτει δύο κακόβουλα σενάρια, το core.bat και το win.bat, που ρυθμίζουν προγραμματισμένες εργασίες για την εκτέλεση σεναρίων PowerShell.

Το PowerShell που εκτελείται από το αρχείο win.bat αποκρυπτογραφεί ένα σενάριο λήψης και ανακτά ένα αρχείο ZIP που περιέχει ένα ωφέλιμο φορτίο (PhoenixMiner ή lolMiner), ένα δεύτερο σενάριο PS (το οποίο προγραμματίζει το core.bat) και ένα άλλο κρυπτογραφημένο αρχείο.

Η πρώτη μέθοδος, η οποία παρέχει ένα backdoor ωφέλιμο φορτίο, θα μπορούσε να επιλεγεί από τους εισβολείς σε περιπτώσεις όπου η διατήρηση διακριτικής, παρατεταμένης πρόσβασης στα συστήματα στόχου είναι ο πρωταρχικός στόχος.

Η δεύτερη μέθοδος επίθεσης, η οποία χρησιμοποιεί cryptominers, είναι προσανατολισμένη προς τα γρήγορα οικονομικά κέρδη με υψηλότερο κίνδυνο ανίχνευσης.

ωφέλιμα φορτία εξόρυξης και RAT

Το ωφέλιμο φορτίο M3_Mini_Rat παρέχει στους εισβολείς δυνατότητες απομακρυσμένης πρόσβασης, επιτρέποντάς τους να πραγματοποιήσουν αναγνώριση συστήματος και να εγκαταστήσουν πρόσθετα ωφέλιμα φορτία στο μολυσμένο σύστημα.

Το εργαλείο RAT μπορεί να εκτελέσει τις ακόλουθες λειτουργίες:

Αναγνώριση συστήματος:

Συγκεντρώνει λεπτομέρειες όπως όνομα χρήστη, έκδοση λειτουργικού συστήματος, κατάσταση προστασίας από ιούς, κατάσταση δικτύου και προδιαγραφές υλικού.
Διαχείριση της διαδικασίας:

Παραθέτει και διαχειρίζεται τις διεργασίες που εκτελούνται, συμπεριλαμβανομένων των δυνατοτήτων τερματισμού.
Εξερεύνηση συστήματος αρχείων:

Αριθμεί λογικές μονάδες δίσκου και ανακτά λεπτομέρειες συγκεκριμένων φακέλων.
Εντολή και έλεγχος:

Χρησιμοποιεί μια σύνδεση TCP για εργασίες απομακρυσμένης διαχείρισης και λήψη εντολών.
Διαχείριση αρχείων:

Χειρίζεται τη λήψη, τον έλεγχο, τη μετονομασία και τη διαγραφή αρχείων και μπορεί να εκτελέσει κακόβουλα δυαδικά αρχεία.
Μετάδοση δεδομένων:

Στέλνει δεδομένα, συμπεριλαμβανομένων των στοιχείων αναγνώρισης, πίσω στον διακομιστή του εισβολέα.
Ειδικοί έλεγχοι:

Προσδιορίζει συγκεκριμένες διαδικασίες διακομιστή, όπως ο διακομιστής του κέντρου σύνδεσης Citrix.
Εξοδος:

Προσφέρει τρόπους για ασφαλή έξοδο από τον πελάτη και διαχείριση των ροών δεδομένων του.

Τα άλλα δύο ωφέλιμα φορτία, το PhoenixMiner και το lolMiner, εξορύσσουν κρυπτονομίσματα καταπατώντας την υπολογιστική ισχύ των καρτών γραφικών AMD, Nvidia και Intel (μόνο lolMiner).

Το PhoenixMiner είναι ένας εξορύκτης Ethash (ETH, ETC, Musicoin, EXP, UBQ κ.λπ.), ενώ το lolMiner υποστηρίζει πολλαπλά πρωτόκολλα όπως Etchash, Autolykos2, Beam, Grin, Ae, ALPH, Flux, Equihash, Kaspa, Nexa, Ironfish και άλλα.

Η έκδοση lolMiner που εντοπίστηκε σε αυτήν την καμπάνια είναι 1.76, η οποία υποστηρίζει την ταυτόχρονη εξόρυξη δύο διαφορετικών κρυπτονομισμάτων.

, Οι επιθέσεις κρυπτονομίας των Windows στοχεύουν τις υψηλής ισχύος GPU των γραφιστών, TechWar.gr

Η διαμόρφωση PhoenixMiner ορίζει το όριο ισχύος της GPU στο 75% και τη μέγιστη ταχύτητα ελέγχου διασκέδασης συστήματος στο 65%.

Παρόμοιοι περιορισμοί παρατηρούνται στις παραμέτρους lolMiner, οι οποίες χρησιμοποιούν το 75% της ισχύος της GPU και διακόπτουν την εξόρυξη εάν η θερμοκρασία φτάσει τους 70 βαθμούς Κελσίου.

Αυτό δείχνει ότι οι εισβολείς προσπαθούν να αποφύγουν τον εντοπισμό τους χρησιμοποιώντας πάρα πολλούς πόρους.

Μπορείτε να βρείτε μια πλήρη λίστα με τους δείκτες συμβιβασμού για αυτήν την καμπάνια

αυτό το αποθετήριο GitHub

.

bleepingcomputer.com

Παρόμοια άρθρα