Los ciberdelincuentes han estado en una racha prolongada desde noviembre de 2021, utilizando una astuta herramienta de Windows para propagar malware de minería de criptomonedas. Un análisis reciente de Cisco’s Talos Intelligence ha expuesto la siniestra trama, en la que estos atacantes han puesto sus miras en un grupo desprevenido de diseñadores gráficos y expertos en modelado 3D.
La explotación del Windows Advanced Installer, una aplicación legítima utilizada por los desarrolladores para empaquetar varias instalaciones de software, incluidos los bien conocidos como Adobe Illustrator, es el centro de esta operación maliciosa. Los ciberdelincuentes explotan esta herramienta con la intención de realizar la ejecución de scripts maliciosos en los ordenadores infectados.
Curiosamente, la mayoría de los instaladores de software comprometidos están escritos en francés. Esto sugiere que los actores malvados están extendiendo sus redes a varios sectores empresariales, incluidos arquitectura, ingeniería, construcción, manufactura y entretenimiento en regiones de habla francesa.
Si bien los ataques se dirigen principalmente a usuarios de Francia y Suiza, han hecho sentir su presencia en todo el mundo, tocando países como Estados Unidos, Canadá, Argelia, Suecia, Alemania, Túnez, Madagascar, Singapur y Vietnam. Esta información se basa en los datos de las solicitudes DNS enviados al host de control y comando de los ciberdelincuentes.
La campaña maliciosa orquestada por Talos implica el despliegue de potentes scripts de PowerShell y Windows batch. Estos scripts establecen una puerta trasera discreta en la máquina de la víctima y el funcionamiento basado en memoria de PowerShell hace que la detección sea un reto.
Los Ciberdelincuentes Están Extrayendo Criptomonedas De Las Computadoras De Las Víctimas
Una vez que la puerta trasera está en su lugar, los atacantes activan una serie de amenazas. Entre ellos se encuentra el programa de minería de criptomonedas Ethereum conocido como PhoenixMiner, junto con lolMiner, una amenaza de minería multimoneda versátil. Estos scripts están astutamente ocultos bajo la apariencia de la función Custom Action de Advanced Installer, diseñada para facilitar tareas de instalación personalizadas.
Mientras tanto, PhoenixMiner y lolMiner aprovechan la potencia de cálculo de las GPU de AMD, Nvidia e Intel. PhoenixMiner se centra en las criptomonedas basadas en Ethash, mientras que lolMiner admite múltiples protocolos, lo que permite la minería simultánea de diferentes criptomonedas de forma similar a como operan los pools de minería, pero solo el hacker se beneficia.
Este siniestro acto de emplear malware de minería sin el consentimiento del usuario, a menudo conocido como crypto-jacking, opera de forma encubierta, dejando signos como el sobrecalentamiento y el rendimiento lento del dispositivo. Esta campaña es solo un ejemplo de una tendencia creciente en la que los atacantes buscan minar o robar criptomonedas.
A medida que luchamos contra los crecientes peligros cibernéticos, este hallazgo es un importante recordatorio de la necesidad de conciencia y medidas de seguridad efectivas. Los profesionales que se dedican al modelado 3D y el diseño gráfico deben tener mucho cuidado en todo momento para proteger sus valiosas creaciones y activos informáticos de estos incesantes ciberdelincuentes.