Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Advanced Installer становится любимым оружием криптомайнеров

11/09/23

advanced_installer_vertical_20

Легитимный инструмент для создания программных пакетов под названием Advanced Installer продолжает набирать популярность среди злоумышленников. Его эксплуатируют для установки вредоносного ПО, связанного с майнингом криптовалют, на зараженных компьютерах с ноября 2021 года.

«Злоумышленник применяет Advanced Installer, чтобы упаковать другие легитимные установщики, такие как Adobe Illustrator, Autodesk 3ds Max и SketchUp Pro, с вредоносными скриптами». — объясняет исследователь из Cisco Talos — Четан Рагхупрасад.

Ключевой элемент атаки — функция Custom Actions в Advanced Installer. Она позволяет автоматизировать процессы при установке программы. Инструмент задействует PowerShell-скрипт M3_Mini_Rat, который выступает как бэкдор, обеспечивая удаленный доступ к системе.

После активации бэкдора на компьютер жертвы устанавливаются криптовалютные майнеры PhoenixMiner и lolMiner. PhoenixMiner занимается добычей Ethereum, популярной для децентрализованных приложений, а lolMiner уникален тем, что может добывать две криптовалюты одновременно. Такая особенность многократно увеличивает эффективность атаки.

Проанализировав характер зараженных приложений, можно сделать вывод, что жертвы, вероятно, работают в сферах архитектуры, инжиниринга, строительства и развлечений. Установщики программ в основном используют французский язык, значит, под прицелом — франкоязычные пользователи.

Анализ DNS-запросов, отправленных на серверы хакеров, показывает, что футпринт жертв охватывает Францию и Швейцарию, за ними следуют единичные случаи заражения в США, Канаде, Алжире, Швеции, Германии, Тунисе, Мадагаскаре, Сингапуре и Вьетнаме.

Скорее всего, в атаках применялась тактика «SEO poisoning» или «отравления» поисковых систем, чтобы поднимать рейтинг установщиков в результатах поиска.

Еще один пример эксплуатации легитимных средств – сценарий атаки, который недавно изучила компания по кибербезопасности Check Point. Злоумышленники применяют Google Looker Studio, приложение для визуализации данных, чтобы создать поддельные сайты для кражи криптовалют. Этот алгоритм позволяет обходить традиционные средства защиты.

"В двух словах, хакеры пользуются авторитетом Google. Службы безопасности электронной почты, просматривая их письма, вероятно, решат, что сообщение не является фишинговым и отправлено от имени Google."

Троян предназначен для связи с удаленным сервером, хотя пока что сервер не реагирует на запросы, из-за чего сложно точно определить, какие именно типы вредоносного ПО могут через него распространяться.

Темы:майнингУгрозыEthereumбэкдоры
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...