Jak wykazała analiza przeprowadzona przez Cisco Talos Intelligence, od listopada 2021 r. hakerzy wykorzystują narzędzie systemu Windows do upuszczania złośliwego oprogramowania wydobywającego kryptowaluty. Osoby atakujące korzystają z zaawansowanego instalatora systemu Windows – aplikacji, która pomaga programistom w pakowaniu instalatorów oprogramowania w celu wykonywania złośliwych skryptów na zainfekowanych komputerach.
Instalatory oprogramowania dotknięte atakiem są wykorzystywane głównie do modelowania 3D i projektowania graficznego, a większość z nich jest napisana w języku francuskim. Sugeruje to, że ofiary prawdopodobnie reprezentują różne branże, w tym architekturę, inżynierię, budownictwo, produkcję i rozrywkę w krajach z dominacją języka francuskiego. Celem ataków są głównie użytkownicy we Francji i Szwajcarii, a kilka infekcji odnotowano w innych krajach, takich jak Stany Zjednoczone, Kanada, Algieria, Szwecja, Niemcy, Tunezja, Madagaskar, Singapur i Wietnam.
Nielegalna kampania wydobywania kryptowalut zidentyfikowana przez Talos obejmuje wdrażanie złośliwych skryptów wsadowych PowerShell i Windows w celu wykonywania poleceń i tworzenia backdoora na komputerze ofiary. Po zainstalowaniu backdoora osoba atakująca uruchamia dodatkowe zagrożenia, takie jak program do wydobywania kryptowaluty Ethereum PhoenixMiner i lolMiner, zagrożenie wydobywające wiele monet. Praktyka ta, znana jako cryptojacking, polega na instalowaniu kodu do wydobywania kryptowalut na urządzeniu bez wiedzy i zgody użytkownika na nielegalne wydobywanie kryptowalut. Oznakami, że na komputerze może działać złośliwe oprogramowanie wydobywające, są przegrzanie i słaba wydajność urządzeń.
