Una herramienta legÃtima de Windows utilizada para crear paquetes de software llamada Advanced Installer está siendo utilizada de manera maliciosa por actores de amenazas para distribuir malware de criptominerÃa en máquinas infectadas desde al menos noviembre de 2021.
"El atacante utiliza Advanced Installer para empaquetar otros instaladores de software legÃtimos, como Adobe Illustrator, Autodesk 3ds Max y SketchUp Pro, con scripts maliciosos y utiliza la función de Acciones Personalizadas de Advanced Installer para que los instaladores de software ejecuten los scripts maliciosos", dijo el investigador de Cisco Talos, Chetan Raghuprasad, en un informe técnico.
La naturaleza de las aplicaciones troyanizadas indica que las vÃctimas probablemente abarcan sectores como arquitectura, ingenierÃa, construcción, manufactura y entretenimiento. Los instaladores de software utilizan predominantemente el idioma francés, lo que sugiere que los usuarios de habla francesa están siendo el objetivo.
Esta campaña es estratégica, ya que estas industrias dependen de computadoras con una gran potencia de Unidad de Procesamiento Gráfico (GPU) para sus operaciones diarias, lo que las convierte en objetivos lucrativos para el criptojacking.
El análisis de Cisco de los datos de solicitudes DNS enviados a la infraestructura del atacante muestra que la huella de la victimologÃa abarca Francia y Suiza, seguidas de infecciones esporádicas en EE. UU., Canadá, Argelia, Suecia, Alemania, Túnez, Madagascar, Singapur y Vietnam.
Los ataques culminan con la implantación de un M3_Mini_Rat, un script de PowerShell que probablemente actúa como puerta trasera para descargar y ejecutar amenazas adicionales, asà como múltiples familias de malware de criptominerÃa como PhoenixMiner y lolMiner.
En cuanto al vector de acceso inicial, se sospecha que se pudieron haber empleado técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para entregar los instaladores de software manipulados a las máquinas de las vÃctimas.
El instalador, una vez ejecutado, activa una cadena de ataque de múltiples etapas que descarga el fragmento del cliente M3_Mini_Rat y los archivos binarios del minero.
"El cliente M3_Mini_Rat es un script de PowerShell con capacidades de administración remota que se enfoca principalmente en realizar reconocimiento del sistema y descargar y ejecutar otros archivos binarios maliciosos", dijo Raghuprasad.
El troyano está diseñado para comunicarse con un servidor remoto, aunque actualmente no responde, lo que dificulta determinar la naturaleza exacta del malware que pudo haberse distribuido a través de este proceso.
Los otros dos cargadores maliciosos se utilizan para minar criptomonedas de manera ilÃcita utilizando los recursos de la GPU de la máquina. PhoenixMiner es un malware de minerÃa de criptomonedas de Ethereum, mientras que lolMiner es un software de minerÃa de código abierto que puede usarse para minar dos monedas virtuales al mismo tiempo.
En otro caso de abuso de herramientas legÃtimas, Check Point advierte sobre un nuevo tipo de ataque de phishing que aprovecha Google Looker Studio para crear sitios falsos de phishing de criptomonedas en un intento de eludir las protecciones.
"Los hackers lo están utilizando para crear páginas de cripto falsas diseñadas para robar dinero y credenciales", dijo el investigador de seguridad Jeremy Fuchs.
"Esto significa que los hackers están aprovechando la autoridad de Google. Un servicio de seguridad de correo electrónico analizará todos estos factores y tendrá una gran confianza en que no se trata de un correo electrónico de phishing y que proviene de Google".
¿Quieres saber más?