Ny Cryptojacking-Kampagne Identificeret
Cybersecurity-firmaet Darktrace har identificeret en ny cryptojacking-kampagne, der er designet til at omgå Windows Defender og implementere kryptovaluta-mining-software. Kampagnen, der først blev opdaget i slutningen af juli, involverer en flertrinsinfektion, der stille og roligt kaprer en computers behandlingskraft for at mine kryptovaluta.
Angrebsmetoder
Darktrace-forskerne Keanna Grelicha og Tara Gould forklarede i en rapport delt med crypto.news, at kampagnen specifikt målretter mod Windows-baserede systemer ved at udnytte PowerShell, Microsofts indbyggede kommandolinje-shell og scriptsprog. Gennem dette værktøj kan ondsindede aktører køre skadelige scripts og få privilegeret adgang til værtsystemet.
De skadelige scripts er designet til at køre direkte i systemets hukommelse (RAM), hvilket gør traditionelle antivirusværktøjer, der typisk scanner filer på harddisken, ineffektive til at opdage den skadelige proces. Angriberne bruger derefter AutoIt-programmeringssproget, et Windows-værktøj, der ofte anvendes af IT-professionelle til at automatisere opgaver, til at injicere en skadelig loader i en legitim Windows-proces.
Loaderens Funktionalitet
Denne loader downloader og udfører et kryptovaluta-miningprogram uden at efterlade åbenlyse spor på systemet. Som en ekstra forsvarslinje er loaderen programmeret til at udføre en række miljøtjek, såsom at scanne efter tegn på et sandbox-miljø og inspicere værten for installerede antivirusprodukter. Udførelsen fortsætter kun, hvis Windows Defender er den eneste aktive beskyttelse.
Hvis den inficerede brugerkonto mangler administrative rettigheder, forsøger programmet at omgå User Account Control for at få forhøjet adgang. Når disse betingelser er opfyldt, downloader og udfører programmet NBMiner, et velkendt kryptovaluta-miningværktøj, der bruger en computers grafiske behandlingsenhed til at mine kryptovalutaer som Ravencoin (RVN) og Monero (XMR).
Darktrace’s Respons
Darktrace var i stand til at inddæmme angrebet ved hjælp af sit autonome respons-system, som forhindrede enheden i at lave udgående forbindelser og blokkerede specifikke forbindelser til mistænkelige slutpunkter.
“Efterhånden som kryptovaluta fortsætter med at vokse i popularitet, som set med den nuværende høje værdiansættelse af den globale kryptovaluta-markedsværdi (næsten USD 4 trillioner på tidspunktet for skrivningen), vil trusselaktører fortsætte med at betragte kryptovaluta-mining som en rentabel virksomhed,” skrev Darktrace-forskerne.
Tidligere Kampagne
Tilbage i juli flagede Darktrace en separat kampagne, hvor ondsindede aktører brugte komplekse social engineering-taktikker, såsom at udgive sig for at være rigtige virksomheder, for at narre brugere til at downloade ændret software, der implementerer kryptovaluta-stjælende malware. I modsætning til den førnævnte cryptojacking-ordning målrettede denne tilgang både Windows- og macOS-systemer og blev udført af uvidende ofre, der troede, de interagerede med virksomhedens medarbejdere.
