Los piratas informáticos han estado explotando una herramienta de Windows para eliminar malware de minería de criptomonedas desde noviembre de 2021, como lo revela un análisis de Talos Intelligence de Cisco. Los atacantes utilizan Windows Advanced Installer, una aplicación que ayuda a los desarrolladores a empaquetar instaladores de software para ejecutar scripts maliciosos en máquinas infectadas.
Los instaladores de software afectados por el ataque se utilizan principalmente para modelado 3D y diseño gráfico, y la mayoría de ellos están escritos en francés. Esto sugiere que las víctimas probablemente provengan de diversas industrias, incluidas la arquitectura, la ingeniería, la construcción, la manufactura y el entretenimiento en países donde predomina el idioma francés. Los ataques se dirigen principalmente a usuarios de Francia y Suiza, y se han reportado algunas infecciones en otros países como Estados Unidos, Canadá, Argelia, Suecia, Alemania, Túnez, Madagascar, Singapur y Vietnam.
La campaña de criptominería ilícita identificada por Talos implica la implementación de scripts por lotes maliciosos de PowerShell y Windows para ejecutar comandos y establecer una puerta trasera en la máquina de la víctima. Una vez instalada la puerta trasera, el atacante ejecuta amenazas adicionales, como el programa de criptominería Ethereum PhoenixMiner y lolMiner, una amenaza de minería de múltiples monedas. Esta práctica, conocida como cryptojacking, implica instalar un código de criptominería en un dispositivo sin el conocimiento o permiso del usuario para minar criptomonedas ilegalmente. Las señales de que se puede estar ejecutando malware de minería en una máquina incluyen sobrecalentamiento y dispositivos con bajo rendimiento.
