Secondo Cointelegraph, è da novembre 2021 che gli hacker sfruttano uno strumento Windows per eliminare malware per il mining di criptovalute, come rivelato da un'analisi di Talos Intelligence di Cisco. Gli aggressori utilizzano Windows Advanced Installer, un'applicazione che aiuta gli sviluppatori a creare pacchetti di installazione di software, per eseguire script dannosi sulle macchine infette.
I programmi di installazione interessati dall'attacco vengono utilizzati principalmente per la modellazione 3D e la progettazione grafica e la maggior parte di essi sono scritti in francese. Ciò suggerisce che le vittime provengono probabilmente da vari settori, tra cui architettura, ingegneria, edilizia, produzione e intrattenimento nei paesi a predominanza della lingua francese. Gli attacchi prendono di mira principalmente utenti in Francia e Svizzera, con alcune infezioni segnalate in altri paesi come Stati Uniti, Canada, Algeria, Svezia, Germania, Tunisia, Madagascar, Singapore e Vietnam.
La campagna illecita di mining di criptovalute identificata da Talos prevede l'implementazione di script batch dannosi di PowerShell e Windows per eseguire comandi e creare una backdoor nel computer della vittima. Una volta installata la backdoor, l'aggressore esegue ulteriori minacce, come il programma di mining di criptovaluta di Ethereum PhoenixMiner e lolMiner, una minaccia di mining multi-moneta. Questa pratica, nota come cryptojacking, prevede l'installazione di un codice di mining di criptovaluta su un dispositivo all'insaputa dell'utente o senza il permesso di estrarre illegalmente criptovalute. I segnali che indicano che malware di mining potrebbe essere in esecuzione su una macchina includono dispositivi surriscaldati e con prestazioni scarse.
