Windows-tool waarop hackers zich richten zet cryptomining-malware in

Sinds november 2021 hebben hackers hun aanvalstactieken geüpgraded door een opmerkelijke nieuwe benadering te hanteren: het gebruik van een Windows-tool om cryptocurrency-malware te verspreiden.

Uit een grondige analyse door Cisco’s Talos Intelligence blijkt dat deze aanvallers Windows Advanced Installer inzetten, een oorspronkelijk legitieme applicatie die software-installatieprogramma’s, zoals die van Adobe Illustrator, kan verpakken. Echter, in plaats van legitieme doeleinden, wordt deze tool nu ingezet om schadelijke scripts uit te voeren op besmette computers, wat een verontrustende bedreiging vormt.

Focus op 3D-modellering en grafisch ontwerp software

Volgens een blogpost gepubliceerd op 7 september, ligt de nadruk van de recente aanvallen op software-installatieprogramma’s die voornamelijk worden gebruikt binnen het domein van 3D-modellering en grafisch ontwerp. Opmerkelijk is dat de meerderheid van de software-installatieprogramma’s die in het kader van deze malwarecampagne worden geëxploiteerd, in de Franse taal is geschreven. Deze ontdekkingen doen vermoeden dat de aanvallers zich richten op “slachtoffers die zich hoogstwaarschijnlijk bevinden in verticale sectoren van het bedrijfsleven, waaronder architectuur, techniek, constructie, productie en entertainment, in landen waar de Franse taal dominant is,” zo verduidelijkt de analyse.

De impact van deze aanvallen strekt zich voornamelijk uit tot gebruikers in Frankrijk en Zwitserland, zij het met enkele incidenten die elders zijn gemeld, waaronder in de Verenigde Staten, Canada, Algerije, Zweden, Duitsland, Tunesië, Madagaskar, Singapore en Vietnam. De gegevens in de blogpost zijn afgeleid van DNS-verzoekgegevens die naar het command-and-control-systeem van de aanvallers zijn gestuurd.

PowerShell- en Windows-batchscripts

De illegale cryptomining-campagne die door Talos is ontdekt, omvat het gebruik van schadelijke PowerShell- en Windows-batchscripts om commando’s uit te voeren en een toegangspoort te openen in het systeem van het slachtoffer. Het opmerkelijke aan PowerShell is dat het in het systeemgeheugen wordt uitgevoerd in plaats van op de harde schijf, wat het moeilijker maakt om een dergelijke aanval te detecteren.

Eenmaal geïnstalleerd, maakt de achterdeur het voor de aanvaller mogelijk om verdere bedreigingen te introduceren, waaronder het Ethereum-cryptominingprogramma PhoenixMiner en lolMiner, een veelzijdige cryptomining-dreiging die meerdere cryptocurrencies kan minen.

Deze kwaadaardige scripts worden uitgevoerd met behulp van de Custom Action-functie van Advanced Installer, waarmee gebruikers vooraf aangepaste installatietaken kunnen definiëren. De laatste payloads zijn PhoenixMiner en lolMiner, publiek beschikbare mijnwerkers die vertrouwen op de GPU-mogelijkheden van computers.

Cryptojacking

Het fenomeen waarbij cryptomining-malware stiekem wordt geïnstalleerd op een apparaat, zonder de medeweten of toestemming van de gebruiker, om cryptocurrencies op illegale wijze te minen, staat algemeen bekend als “cryptojacking.” Enkele indicatoren dat er mogelijk mining-malware actief is op een apparaat zijn onder andere oververhitting en verminderde prestaties van het apparaat.

Het gebruik van malwarefamilies om apparaten over te nemen voor het minen of stelen van cryptocurrencies is geen nieuwe praktijk. Onlangs heeft voormalig smartphone-reus BlackBerry malwarescripts geïdentificeerd die actief gericht zijn op ten minste drie sectoren, namelijk de financiële dienstverlening, de gezondheidszorg en de overheid.