思科 Talos Intelligence 的分析顯示,自 2021 年 11 月以來,黑客一直在利用 Windows 工具投放加密貨幣挖礦惡意軟件。攻擊者使用 Windows Advanced Installer(一種幫助開發人員打包軟件安裝程序的應用程序)在受感染的計算機上執行惡意腳本。
受攻擊影響的軟件安裝程序主要用於3D建模和圖形設計,其中大部分是用法語編寫的。這表明受害者可能來自各個行業,包括法語爲主的國家的建築、工程、建造、製造和娛樂業。這些攻擊主要針對法國和瑞士的用戶,美國、加拿大、阿爾及利亞、瑞典、德國、突尼斯、馬達加斯加、新加坡和越南等其他國家也有少數感染報告。
Talos 發現的非法加密貨幣挖礦活動涉及部署惡意 PowerShell 和 Windows 批處理腳本來執行命令並在受害者的計算機中建立後門。一旦安裝了後門,攻擊者就會執行其他威脅,例如以太坊加密挖礦程序 PhoenixMiner 和多幣挖礦威脅 lolMiner。這種做法稱爲加密劫持,涉及在用戶不知情或未經許可的情況下在設備上安裝加密貨幣挖掘代碼,以非法開採加密貨幣。機器上可能運行挖礦惡意軟件的跡象包括設備過熱和性能不佳。
