Hackeři využívají nástroj Windows k odstranění malwaru pro těžbu kryptoměn od listopadu 2021, jak odhalila analýza Talos Intelligence společnosti Cisco. Útočníci používají Windows Advanced Installer, aplikaci, která pomáhá vývojářům při instalaci balíčků softwaru ke spouštění škodlivých skriptů na infikovaných počítačích.

Instalátory softwaru zasažené útokem se primárně používají pro 3D modelování a grafický design a většina z nich je napsána ve francouzštině. To naznačuje, že oběti pravděpodobně pocházejí z různých průmyslových odvětví, včetně architektury, strojírenství, stavebnictví, výroby a zábavy v zemích s převahou francouzského jazyka. Útoky se zaměřují především na uživatele ve Francii a Švýcarsku, přičemž několik infekcí bylo hlášeno v jiných zemích, jako jsou Spojené státy, Kanada, Alžírsko, Švédsko, Německo, Tunisko, Madagaskar, Singapur a Vietnam.

Kampaň proti nezákonné těžbě kryptoměn identifikovaná Talosem zahrnuje nasazení škodlivých dávkových skriptů PowerShell a Windows k provádění příkazů a vytvoření zadních vrátek v počítači oběti. Jakmile je zadní vrátka nainstalována, útočník spustí další hrozby, jako je program pro těžbu kryptoměn Ethereum PhoenixMiner a lolMiner, hrozba pro těžbu více mincí. Tato praxe, známá jako cryptojacking, zahrnuje instalaci kódu pro těžbu kryptoměn na zařízení bez vědomí uživatele nebo povolení k nelegální těžbě kryptoměn. Známky toho, že na počítači může běžet těžební malware, zahrnují přehřívání a špatně fungující zařízení.

#ALERT