Легитимный инструмент для создания программных пакетов под названием Advanced Installer продолжает набирать популярность среди злоумышленников. Его эксплуатируют для установки вредоносного ПО, связанного с майнингом криптовалют, на зараженных компьютерах с ноября 2021 года.
“Злоумышленник применяет Advanced Installer, чтобы упаковать другие легитимные установщики, такие как Adobe Illustrator, Autodesk 3ds Max и SketchUp Pro, с вредоносными скриптами”. – объясняет исследователь из Cisco Talos – Четан Рагхупрасад.
Ключевой элемент атаки – функция Custom Actions в Advanced Installer. Она позволяет автоматизировать процессы при установке программы. Инструмент задействует PowerShell-скрипт M3_Mini_Rat, который выступает как бэкдор, обеспечивая удаленный доступ к системе.
После активации бэкдора на компьютер жертвы устанавливаются криптовалютные майнеры PhoenixMiner и lolMiner. PhoenixMiner занимается добычей Ethereum, популярной для децентрализованных приложений, а lolMiner уникален тем, что может добывать две криптовалюты одновременно. Такая особенность многократно увеличивает эффективность атаки.
Проанализировав характер зараженных приложений, можно сделать вывод, что жертвы, вероятно, работают в сферах архитектуры, инжиниринга, строительства и развлечений. Установщики программ в основном используют французский язык, значит, под прицелом – франкоязычные пользователи.
Анализ DNS-запросов, отправленных на серверы хакеров, показывает, что футпринт жертв охватывает Францию и Швейцарию, за ними следуют единичные случаи заражения в США, Канаде, Алжире, Швеции, Германии, Тунисе, Мадагаскаре, Сингапуре и Вьетнаме.
Скорее всего, в атаках применялась тактика “SEO poisoning” или “отравления” поисковых систем, чтобы поднимать рейтинг установщиков в результатах поиска.
Еще один пример эксплуатации легитимных средств – сценарий атаки, который недавно изучила компания по кибербезопасности Check Point. Злоумышленники применяют Google Looker Studio, приложение для визуализации данных, чтобы создать поддельные сайты для кражи криптовалют. Этот алгоритм позволяет обходить традиционные средства защиты.
“В двух словах, хакеры пользуются авторитетом Google. Службы безопасности электронной почты, просматривая их письма, вероятно, решат, что сообщение не является фишинговым и отправлено от имени Google.”
Троян предназначен для связи с удаленным сервером, хотя пока что сервер не реагирует на запросы, из-за чего сложно точно определить, какие именно типы вредоносного ПО могут через него распространяться.