Нужно больше золота: как хакеры принуждают графических дизайнеров добывать криптовалюту

Исследователи из Cisco Talos выяснили , что киберпреступники активно распространяют установщики популярных программ для 3D-моделирования и графического дизайна, таких как Autodesk 3ds Max, Adobe Illustrator и SketchUp Pro, как предполагают исследователи, с помощью техник чёрной оптимизации поисковых систем (Black Hat SEO).

Эти установщики содержат скрытые вредоносные скрипты, которые заражают компьютеры специалистов троянами с удалённым доступом (RAT) и криптомайнерами.

Злоумышленники фокусируются на этих конкретных целях, поскольку графические дизайнеры, аниматоры и видеоредакторы обычно используют компьютеры с мощными видеокартами, которые поддерживают более высокие хешрейты майнинга, делая операцию криптодобычи более прибыльной.

Как сообщили эксперты Cisco Talos, данная вредоносная кампания продолжается с ноября 2021 года. В настоящее время большинство жертв находятся во Франции и Швейцарии, но также есть значительное количество заражений в США, Канаде, Германии, Алжире и Сингапуре.

Аналитики наблюдали два различных метода атаки, используемых в этой кампании. В обоих случаях злоумышленники используют легитимный инструмент Windows под названием «Advanced Installer» для создания установочных файлов для Windows, упакованных с вредоносными скриптами PowerShell и batch.

Два метода атаки отличаются конкретными скриптами, сложностью цепочки заражения и конечными полезными нагрузками, которые попадают на скомпрометированное устройство.

Первый метод использует пакетный скрипт (core.bat), чтобы настроить повторяющуюся задачу запуска PowerShell-скрипта, который расшифровывает бэкдор под названием «M3_Mini_Rat». Данный бэкдор предоставляет злоумышленникам возможности удалённого доступа, позволяя им выполнять системную разведку и устанавливать дополнительные полезные нагрузки на заражённую систему.

Второй метод ведёт к установке криптомайнера PhoenixMiner или lolMiner. PhoenixMiner — это майнер Ethash (ETH, ETC, Musicoin, EXP, UBQ и т.д.), а lolMiner поддерживает несколько протоколов, включая Etchash, Autolykos2, Beam, Grin, Ae, ALPH, Flux, Equihash и другие.

Оба майнера используют лишь 75% мощности GPU и приостанавливают свою работу при достижении видеокартой температуры 70 градусов Цельсия. Так злоумышленники исключают заметное падение производительности заражённой системы, её перегрев и усиленную работу вентиляторов, по которой жертва может догадаться, что в системе засел криптомайнер.

Чтобы не стать жертвой подобных атак, эксперты рекомендуют скачивать программное обеспечение исключительно с официальных или хотя бы проверенных источников, использовать продвинутые антивирусные решения, а также регулярно обновлять операционную систему и установленные программы, поскольку обновления часто включают в себя исправления уязвимостей, которыми могут воспользоваться хакеры.

Соблюдение этих рекомендаций может значительно снизить риск стать жертвой подобных кибератак.