da Hardware Upgrade :
I graphic designer, e pi in particolare i loro PC, sono nel mirino dei malintenzionati che vogliono usarli per minare criptovalute. Secondo quanto riportato da Cisco Talos (via Bleeping Computer), una campagna di attacchi in corso almeno da novembre 2021 e sfrutterebbe Advanced Installer, uno strumento di Windows.
Come si concretizza la minaccia? I malintenzionati, probabilmente grazie a tecniche di ottimizzazione del posizionamento sui motori di ricerca, fanno s che persone poco accorte scarichino installer non legittimi di popolari software di modellazione 3D e progettazione grafica come Adobe Illustrator, Autodesk 3ds Max e SketchUp Pro.
Come forse avrete intuito, gli installer includono script dannosi nascosti che infettano i sistemi con trojan di accesso remoto (RAT) e soluzioni per il mining di criptovalute. L’interesse per i graphic designer non causale, infatti si tratta di professionisti che potrebbero avere computer con GPU molto potenti, capaci quindi di “minare” pi rapidamente restituendo profitti superiori.
Secondo Cisco Talos, la maggior parte delle vittime di questa campagna sono in Francia e Svizzera, ma non mancano casi negli Stati Uniti, Canada, Germania, Algeria e Singapore. Gli attacchi sono stati portati avanti seguendo due metodi, entrambi usando Advanced Installer per creare installer per Windows accompagnati da script batch e PowerShell maligni che vengono eseguiti all’avvio del programma di installazione attraverso la funzione “Custom Action” del software.
I due metodi di attacco differiscono per gli script eseguiti, la complessit della catena di infezione e i payload finali rilasciati sul dispositivo.
Il primo metodo usa uno script batch (core.bat) per impostare un’attivit ricorrente che esegue uno script PowerShell che decrittografa il payload finale (M3_Mini_Rat). Il secondo rilascia due script dannosi, core.bat e win.bat, che impostano attivit pianificate per eseguire script PowerShell.
La PowerShell eseguita dal file win.bat decodifica uno script downloader e recupera un archivio zippato contenente un payload (PhoenixMiner o lolMiner), un secondo script PowerShell (collegato a core.bat) e un altro file crittografato.
Il primo metodo apre una backdoor e quindi diventa utile per i malintenzionati che vogliono mantenere l’accesso prolungato al sistema. Il secondo metodo di attacco, che impiega i cryptominer, si rivolge a chi vuole guadagnare rapidamente, anche se mette a maggior rischio di essere rilevati.
Il payload M3_Mini_Rat consente ai malintenzionati di accedere al sistema e installare payload aggiuntivi. Gli altri due payload, PhoenixMiner (Ethash) e lolMiner (Ethash e non solo), usano la potenza di calcolo delle schede AMD, NVIDIA e Intel (in quest’ultimo caso solo lolMiner) per minare criptovalute.
PhoenixMiner imposta il power limit della GPU al 75% e il limite massimo di velocit delle ventole al 65%. lolMiner, invece, imposta il power limit della GPU al 75% e mette in pausa le operazioni di mining se il chip tocca i 70 C. In pratica, entrambi i cryptominer cercano di passare inosservati.