Les pirates informatiques exploitent un outil Windows pour supprimer des logiciels malveillants d'extraction de crypto-monnaie depuis novembre 2021, comme le révèle une analyse de Talos Intelligence de Cisco. Les attaquants utilisent Windows Advanced Installer, une application qui aide les développeurs à empaqueter les installateurs de logiciels, pour exécuter des scripts malveillants sur les machines infectées.
Les installateurs de logiciels concernés par l'attaque sont principalement utilisés pour la modélisation 3D et la conception graphique, et la plupart d'entre eux sont rédigés en français. Cela suggère que les victimes proviennent probablement de divers secteurs, notamment l’architecture, l’ingénierie, la construction, l’industrie manufacturière et le divertissement dans les pays à dominante française. Les attaques ciblent principalement les utilisateurs en France et en Suisse, avec quelques infections signalées dans d'autres pays comme les États-Unis, le Canada, l'Algérie, la Suède, l'Allemagne, la Tunisie, Madagascar, Singapour et le Vietnam.
La campagne illicite de crypto mining identifiée par Talos implique le déploiement de scripts batch PowerShell et Windows malveillants pour exécuter des commandes et établir une porte dérobée dans la machine de la victime. Une fois la porte dérobée installée, l’attaquant exécute des menaces supplémentaires, telles que le programme de crypto-minage Ethereum PhoenixMiner et lolMiner, une menace de minage multi-pièces. Cette pratique, connue sous le nom de cryptojacking, consiste à installer un code de crypto-minage sur un appareil à l'insu de l'utilisateur ou sans son autorisation pour miner illégalement des crypto-monnaies. Les signes indiquant que des logiciels malveillants miniers peuvent s'exécuter sur une machine incluent une surchauffe et des appareils peu performants.
