Tin tặc đã khai thác một công cụ Windows để phát tán phần mềm độc hại khai thác tiền điện tử kể từ tháng 11 năm 2021, theo tiết lộ của một phân tích từ Talos Intelligence của Cisco. Những kẻ tấn công sử dụng Windows Advanced Installer, một ứng dụng hỗ trợ các nhà phát triển đóng gói trình cài đặt phần mềm, để thực thi các tập lệnh độc hại trên các máy bị nhiễm.
Các trình cài đặt phần mềm bị ảnh hưởng bởi cuộc tấn công chủ yếu được sử dụng cho mô hình 3D và thiết kế đồ họa, hầu hết chúng đều được viết bằng tiếng Pháp. Điều này cho thấy các nạn nhân có thể đến từ nhiều ngành khác nhau, bao gồm kiến trúc, kỹ thuật, xây dựng, sản xuất và giải trí ở các quốc gia nói tiếng Pháp thống trị. Các cuộc tấn công chủ yếu nhắm vào người dùng ở Pháp và Thụy Sĩ, với một số trường hợp lây nhiễm được báo cáo ở các quốc gia khác như Hoa Kỳ, Canada, Algeria, Thụy Điển, Đức, Tunisia, Madagascar, Singapore và Việt Nam.
Chiến dịch khai thác tiền điện tử bất hợp pháp được Talos xác định liên quan đến việc triển khai các tập lệnh bó PowerShell và Windows độc hại để thực thi các lệnh và thiết lập cửa hậu trong máy của nạn nhân. Sau khi cài đặt cửa sau, kẻ tấn công sẽ thực hiện các mối đe dọa bổ sung, chẳng hạn như chương trình khai thác tiền điện tử Ethereum PhoenixMiner và lolMiner, một mối đe dọa khai thác nhiều xu. Hoạt động này, được gọi là tấn công bằng tiền điện tử, liên quan đến việc cài đặt mã khai thác tiền điện tử trên một thiết bị mà người dùng không hề biết hoặc không được phép khai thác tiền điện tử một cách bất hợp pháp. Các dấu hiệu cho thấy phần mềm độc hại khai thác có thể đang chạy trên máy bao gồm các thiết bị quá nóng và hoạt động kém.
