Os invasores têm como alvo modeladores 3D e designers gráficos com versões maliciosas de uma ferramenta legítima de instalação do Windows em uma campanha de mineração de criptomoedas que está em andamento pelo menos desde novembro de 2021.
A campanha abusa do Advanced Installer, uma ferramenta para criação de pacotes de software, para ocultar malware em instaladores legítimos de software usado por profissionais criativos – como Adobe Illustrator, Autodesk 3ds Max e SketchUp Pro, de acordo com um relatório do pesquisador de ameaças Chetan, da Cisco Talos. Raghuprasad publicado esta semana.
Os invasores executam scripts maliciosos por meio de um recurso do instalador chamado Custom Action, eliminando várias cargas úteis – incluindo o backdoor stub do cliente M3_Mini_Rat, o malware de criptografia Ethereum PhoenixMiner e a ameaça de mineração multi-moeda lolMiner.
A maioria dos instaladores de software da campanha foram escritos em francês, o que faz sentido, já que a maioria das vítimas está na França e na Suíça, segundo o post. No entanto, a campanha também teve como alvo vítimas nos EUA, Canadá, Argélia, Suécia, Alemanha, Tunísia, Madagáscar, Singapura e Vietname.
As organizações afetadas são aquelas que normalmente empregam profissionais que trabalham em modelagem 3D e design gráfico, incluindo setores verticais como arquitetura, engenharia, construção, manufatura e entretenimento.
Os invasores provavelmente visaram esses setores porque usam computadores com altas especificações de GPU e placas gráficas poderosas, que são úteis para gerar criptomoedas, escreveu Raghuprasad.
Dois métodos de ataque
O Cisco Talos não conseguiu determinar o método de ataque inicial de como os instaladores de software armado foram entregues às máquinas infectadas. “No passado, víamos comumente esses instaladores trojanizados entregues usando o envenenamento de otimização de mecanismo de pesquisa (SEO)”, reconheceu Raghuprasad.
Depois de entregues, os invasores usaram dois métodos de ataque em vários estágios para carregar malware. O primeiro método de ataque instala o stub do cliente M3_Mini_Rat para estabelecer um backdoor na máquina da vítima, enquanto o segundo implanta PhoenixMiner e lolMiner para criptomineração .
A primeira sequência de ataque começa quando a vítima clica em um instalador de software legítimo, que o invasor empacotou com um script malicioso usando o Advanced Installer. O ataque abusa do recurso de ação personalizada do Advanced Installer para executar o arquivo em lote malicioso descartado, que contém um comando para configurar o agendador de tarefas na máquina da vítima.
O vetor de ataque também descarta um script malicioso do carregador do PowerShell e um arquivo criptografado, o stub do cliente M3_Mini_RAT. A tarefa criada pelo arquivo em lote original é executada a cada minuto para executar o script malicioso do carregador do PowerShell, que gera o stub do cliente M3_Mini_Rat e o executa na memória da máquina da vítima.
M3_Mini_Rat então tenta se conectar ao comando e controle dos invasores (C2); no entanto, o C2 não respondeu ao ataque observado pelos pesquisadores, portanto, eles não viram nenhuma carga de criptografia cair.
O segundo método de ataque também abusa do Advanced Installer e de seu recurso Custom Actions para descartar scripts em lote maliciosos, prosseguindo com um ataque que se desvia ligeiramente do primeiro ataque, mas que, em última análise, baixa carregadores do PowerShell para executar cargas maliciosas. Os pesquisadores conseguiram observar o lançamento do PhoenixMiner e do lolMiner do PowerShell neste vetor de ataque.
O que é diferente
Vários aspectos da campanha são únicos em termos de outros ataques de criptografia, disse Raghuprasad ao Dark Reading. O uso do PhoenixMiner pelos invasores – uma carga útil que assume o controle da GPU de um sistema para extrair criptografia – cria um nível distinto de evasão porque o minerador também pode ser instalado intencionalmente pelos usuários.
“Isso representa desafios para os sistemas de defesa classificarem [o ataque], a menos que considerem outros fatores observáveis da cadeia de ataque”, diz Raghuprasad.
Os invasores também aumentaram sua probabilidade de ganho financeiro com o uso do lolMiner, que lhes dá a opção de minerar várias criptomoedas ao mesmo tempo, diz ele.
Além disso, o emprego do M3_Mini_RAT, que possui capacidades de administração remota que se concentram principalmente na realização de reconhecimento do sistema, fornece informações valiosas sobre o ambiente da vítima e pode pressagiar ataques futuros.
“Sua capacidade de baixar e executar outros binários aumenta a probabilidade de cargas subsequentes, [como] outros executáveis maliciosos ou comandos arbitrários”, diz Raghuprasad.
Conclusões e estratégias de defesa
Com um relatório recente descobrindo que a atração de lucrar com criptomoedas fez com que esses tipos de ataques disparassem no ano passado, é importante que as organizações permaneçam vigilantes aos alvos e métodos de ataque atuais, diz Raghuprasad.
A campanha do Advanced Installer mostrou que os invasores se afastavam de seus alvos típicos – ou seja, os jogadores – bem como um novo uso de instaladores legítimos para atingir seu objetivo final, diz ele.
“As organizações e os utilizadores devem estar cientes de que os agentes de ameaças estão constantemente à procura de novos caminhos para comprometer as vítimas e explorá-las”, diz ele. “É por isso que você deseja uma abordagem de defesa profunda e precisa executar coisas como segurança de endpoint para tentar evitar esses tipos de instaladores maliciosos”.
Na verdade, os usuários devem estar vigilantes em geral ao baixar os instaladores de software, fazendo questão de baixá-los apenas de uma fonte legítima e confiável, diz Raghuprasad.
Também é importante que as organizações utilizem cópias legítimas de aplicativos e não apenas realizem pesquisas na Web e baixem o resultado principal, que pode ser um anúncio malicioso, acrescenta.
FONTE: DARK READING