Peretas telah mengeksploitasi alat Windows untuk menjatuhkan malware penambangan mata uang kripto sejak November 2021, sebagaimana diungkapkan oleh analisis dari Cisco's Talos Intelligence. Para penyerang menggunakan Windows Advanced Installer, sebuah aplikasi yang membantu pengembang dalam mengemas penginstal perangkat lunak, untuk mengeksekusi skrip berbahaya pada mesin yang terinfeksi.
Penginstal perangkat lunak yang terkena dampak serangan ini terutama digunakan untuk pemodelan 3D dan desain grafis, dan sebagian besar ditulis dalam bahasa Prancis. Hal ini menunjukkan bahwa korbannya kemungkinan besar berasal dari berbagai industri, termasuk arsitektur, teknik, konstruksi, manufaktur, dan hiburan di negara-negara yang mayoritas berbahasa Prancis. Serangan ini terutama menargetkan pengguna di Perancis dan Swiss, dengan beberapa infeksi dilaporkan di negara lain seperti Amerika Serikat, Kanada, Aljazair, Swedia, Jerman, Tunisia, Madagaskar, Singapura, dan Vietnam.
Kampanye penambangan kripto ilegal yang diidentifikasi oleh Talos melibatkan penerapan skrip batch PowerShell dan Windows yang berbahaya untuk menjalankan perintah dan membuat pintu belakang di mesin korban. Setelah pintu belakang dipasang, penyerang mengeksekusi ancaman tambahan, seperti program penambangan kripto Ethereum PhoenixMiner dan lolMiner, ancaman penambangan multi-koin. Praktik ini, yang dikenal sebagai cryptojacking, melibatkan pemasangan kode penambangan kripto pada perangkat tanpa sepengetahuan atau izin pengguna untuk menambang mata uang kripto secara ilegal. Tanda-tanda bahwa malware penambangan mungkin berjalan di mesin termasuk perangkat yang terlalu panas dan kinerjanya buruk.
