Hackerii exploatează un instrument Windows pentru a elimina programele malware de exploatare a criptomonedei din noiembrie 2021, după cum a arătat o analiză a Cisco's Talos Intelligence. Atacatorii folosesc Windows Advanced Installer, o aplicație care ajută dezvoltatorii să împacheteze instalatorii de software, să execute scripturi rău intenționate pe mașinile infectate.
Instalatoarele de software afectate de atac sunt utilizate în principal pentru modelarea 3D și designul grafic, iar majoritatea sunt scrise în limba franceză. Acest lucru sugerează că victimele sunt probabil din diverse industrii, inclusiv arhitectură, inginerie, construcții, producție și divertisment în țările predominante în limba franceză. Atacurile vizează în principal utilizatori din Franța și Elveția, cu câteva infecții raportate în alte țări precum Statele Unite, Canada, Algeria, Suedia, Germania, Tunisia, Madagascar, Singapore și Vietnam.
Campania ilegală de cripto mining identificată de Talos implică implementarea de scripturi batch PowerShell și Windows rău intenționate pentru a executa comenzi și a stabili o ușă în spate în mașina victimei. Odată instalată ușa din spate, atacatorul execută amenințări suplimentare, cum ar fi programul de cripto-mining Ethereum PhoenixMiner și lolMiner, o amenințare de minerit cu mai multe monede. Această practică, cunoscută sub numele de cryptojacking, implică instalarea unui cod de cripto mining pe un dispozitiv fără știrea utilizatorului sau permisiunea de a extrage ilegal criptomonede. Semnele că programele malware de exploatare pot rula pe o mașină includ supraîncălzirea și dispozitivele cu performanțe slabe.
