За даними Cointelegraph, хакери використовували інструмент Windows для видалення зловмисного програмного забезпечення для майнінгу криптовалюти з листопада 2021 року, як показало аналіз Talos Intelligence від Cisco. Зловмисники використовують Windows Advanced Installer, програму, яка допомагає розробникам у пакуванні інсталяторів програмного забезпечення для виконання шкідливих сценаріїв на заражених машинах.
Інсталятори програмного забезпечення, які постраждали від атаки, в основному використовуються для 3D-моделювання та графічного дизайну, і більшість із них написані французькою мовою. Це свідчить про те, що жертви, ймовірно, є представниками різних галузей промисловості, включаючи архітектуру, інженерію, будівництво, виробництво та розваги в країнах, де домінує французька мова. Ці атаки в основному спрямовані на користувачів у Франції та Швейцарії, а також про кілька заражень в інших країнах, таких як США, Канада, Алжир, Швеція, Німеччина, Туніс, Мадагаскар, Сінгапур і В’єтнам.
Незаконна кампанія криптомайнінгу, ідентифікована Talos, передбачає розгортання шкідливих пакетних сценаріїв PowerShell і Windows для виконання команд і встановлення бекдору на комп’ютері жертви. Після встановлення бекдора зловмисник запускає додаткові загрози, такі як програма для майнінгу криптовалют Ethereum PhoenixMiner і lolMiner, загроза для видобутку кількох монет. Ця практика, відома як криптоджекінг, передбачає встановлення коду майнінгу криптовалюти на пристрої без відома або дозволу користувача для незаконного майнінгу криптовалют. Ознаками того, що на машині може бути запущено зловмисне програмне забезпечення для майнінгу, є перегрів і погана робота пристроїв.
