Seit November 2021 verwenden Hacker ein Windows-Tool, um Kryptowährungs-Mining-Malware zu löschen. nach zu einer Analyse von Ciscos Talos Intelligence. Der Angreifer nutzt Windows Advanced Installer – eine Anwendung, die Entwicklern dabei hilft, andere Software-Installationsprogramme wie Adobe Illustrator zu packen –, um schädliche Skripte auf infizierten Computern auszuführen.
Laut einem Blogbeitrag vom 7. September werden die von dem Angriff betroffenen Software-Installationsprogramme hauptsächlich für 3D-Modellierung und Grafikdesign verwendet. Darüber hinaus sind die meisten in der Malware-Kampagne verwendeten Software-Installationsprogramme auf Französisch verfasst. Die Ergebnisse deuten darauf hin, dass die „Opfer wahrscheinlich aus allen Geschäftsbereichen stammen, darunter Architektur, Ingenieurwesen, Baugewerbe, Fertigung und Unterhaltung in Ländern, in denen die französische Sprache vorherrscht“, erklärt die Analyse.
Die Angriffe betreffen hauptsächlich Benutzer in Frankreich und der Schweiz, mit einigen Infektionen in anderen Ländern, darunter den Vereinigten Staaten, Kanada, Algerien, Schweden, Deutschland, Tunesien, Madagaskar, Singapur und Vietnam, so der Beitrag, der auf an die DNS-Anfragedaten gesendeten Daten basiert Befehls- und Kontrollhost (C2) des Angreifers.
Die von Talos identifizierte illegale Krypto-Mining-Kampagne beinhaltet den Einsatz bösartiger PowerShell- und Windows-Batch-Skripts, um Befehle auszuführen und eine Hintertür auf dem Computer des Opfers einzurichten. Insbesondere PowerShell ist dafür bekannt, dass es im Arbeitsspeicher des Systems und nicht auf der Festplatte ausgeführt wird, was die Erkennung eines Angriffs erschwert.
Sobald die Hintertür installiert ist, führt der Angreifer weitere Bedrohungen aus, beispielsweise das Ethereum-Krypto-Mining-Programm PhoenixMiner und lolMiner, eine Multi-Coin-Mining-Bedrohung.
„Diese bösartigen Skripte werden mithilfe der benutzerdefinierten Aktionsfunktion von Advanced Installer ausgeführt, die es Benutzern ermöglicht, benutzerdefinierte Installationsaufgaben vorab zu definieren. Die endgültigen Nutzlasten sind PhoenixMiner und lolMiner, öffentlich verfügbare Miner, die sich auf die GPU-Fähigkeiten von Computern verlassen.“
Der Einsatz von Krypto-Mining-Malware wird als Kryptojacking bezeichnet und beinhaltet die Installation eines Krypto-Mining-Codes auf einem Gerät ohne Wissen oder Erlaubnis des Benutzers, um illegal Kryptowährungen zu schürfen. Zu den Anzeichen dafür, dass in einem Computer Mining-Malware ausgeführt wird, gehören Überhitzung und Geräte mit schlechter Leistung.
Der Einsatz von Malware-Familien zur Kaperung von Geräten zum Schürfen oder Stehlen von Kryptowährungen ist keine neue Praxis. Der frühere Smartphone-Riese BlackBerry hat kürzlich Malware-Skripte identifiziert, die aktiv auf mindestens drei Sektoren abzielen, darunter Finanzdienstleistungen, Gesundheitswesen und Regierung.
Zeitschrift: „Moralische Verantwortung“ – Kann Blockchain das Vertrauen in KI wirklich stärken?