シスコの Talos Intelligence の分析で明らかになったように、ハッカーは 2021 年 11 月以来、Windows ツールを悪用して仮想通貨マイニング マルウェアを投下しています。攻撃者は、開発者によるソフトウェア インストーラーのパッケージ化を支援するアプリケーションである Windows Advanced Installer を使用して、感染したマシン上で悪意のあるスクリプトを実行します。
攻撃の影響を受けるソフトウェア インストーラーは主に 3D モデリングとグラフィック デザインに使用されており、そのほとんどはフランス語で書かれています。このことから、被害者はフランス語が主流の国の建築、エンジニアリング、建設、製造、娯楽などさまざまな業界の出身者である可能性が高いと考えられます。この攻撃は主にフランスとスイスのユーザーを標的にしており、米国、カナダ、アルジェリア、スウェーデン、ドイツ、チュニジア、マダガスカル、シンガポール、ベトナムなど他の国でも少数の感染が報告されている。
Talos が特定した違法暗号マイニング キャンペーンには、悪意のある PowerShell および Windows バッチ スクリプトを展開してコマンドを実行し、被害者のマシンにバックドアを確立することが含まれています。バックドアがインストールされると、攻撃者はイーサリアム暗号マイニング プログラム PhoenixMiner やマルチコイン マイニング脅威 lolMiner などの追加の脅威を実行します。クリプトジャッキングとして知られるこの行為には、ユーザーの知識や許可なしにデバイスに暗号通貨マイニング コードをインストールして、暗号通貨を違法にマイニングすることが含まれます。マイニング マルウェアがマシン上で実行されている可能性がある兆候には、デバイスの過熱やパフォーマンスの低下などがあります。