Cisco'nun Talos Intelligence tarafından yapılan bir analizin ortaya çıkardığı üzere, bilgisayar korsanları Kasım 2021'den bu yana kripto para madenciliği yapan kötü amaçlı yazılımları ortadan kaldırmak için bir Windows aracından yararlanıyor. Saldırganlar, virüslü makinelerde kötü amaçlı komut dosyalarını yürütmek için geliştiricilerin yazılım yükleyicilerini paketlemesine yardımcı olan bir uygulama olan Windows Gelişmiş Yükleyici'yi kullanıyor.
Saldırıdan etkilenen yazılım yükleyicileri öncelikle 3D modelleme ve grafik tasarım için kullanılıyor ve bunların çoğu Fransızca yazılmış. Bu, kurbanların muhtemelen Fransızca konuşulan ülkelerdeki mimarlık, mühendislik, inşaat, imalat ve eğlence gibi çeşitli sektörlerden olduğunu gösteriyor. Saldırılar esas olarak Fransa ve İsviçre'deki kullanıcıları hedef alıyor; ABD, Kanada, Cezayir, İsveç, Almanya, Tunus, Madagaskar, Singapur ve Vietnam gibi diğer ülkelerde de birkaç enfeksiyon rapor edildi.
Talos tarafından tanımlanan yasa dışı kripto madenciliği kampanyası, komutları yürütmek ve kurbanın makinesinde bir arka kapı oluşturmak için kötü amaçlı PowerShell ve Windows toplu komut dosyalarının dağıtılmasını içeriyor. Arka kapı kurulduktan sonra saldırgan, Ethereum kripto madenciliği programı PhoenixMiner ve çoklu madeni para madenciliği tehdidi olan lolMiner gibi ek tehditleri çalıştırır. Kripto hırsızlığı olarak bilinen bu uygulama, kullanıcının bilgisi veya izni olmadan yasa dışı olarak kripto para madenciliği yapmak için bir cihaza kripto madenciliği kodu yüklemeyi içerir. Madencilik kötü amaçlı yazılımlarının bir makinede çalışıyor olabileceğine dair işaretler arasında aşırı ısınma ve kötü performans gösteren cihazlar yer alır.
