Ny Cryptojacking-kampanje Oppdaget
Cybersecurity-firmaet Darktrace har identifisert en ny cryptojacking-kampanje designet for å omgå Windows Defender og distribuere programvare for kryptovaluta-mining. Kampanjen, som først ble oppdaget i slutten av juli, involverer en flertrinns infeksjonskjede som stille og rolig kaprer en datamaskins prosesseringskraft for å mine kryptovaluta.
Angrepsmetoder
Darktrace-forskerne Keanna Grelicha og Tara Gould forklarte dette i en rapport delt med crypto.news. Ifølge forskerne retter kampanjen seg spesifikt mot Windows-baserte systemer ved å utnytte PowerShell, Microsofts innebygde kommandolinjegrensesnitt og skriptspråk. Gjennom dette kan ondsinnede aktører kjøre skadelige skript og få privilegert tilgang til verts-systemet.
Disse skadelige skriptene er designet for å kjøre direkte i systemminnet (RAM), noe som gjør at tradisjonelle antivirusverktøy, som vanligvis er avhengige av å skanne filer på en datamaskins harddisk, ikke klarer å oppdage den skadelige prosessen.
Angriperne bruker deretter AutoIt-programmeringsspråket, et Windows-verktøy som vanligvis brukes av IT-profesjonelle for å automatisere oppgaver, for å injisere en ondsinnet loader inn i en legitim Windows-prosess. Denne loaderen laster deretter ned og kjører et program for kryptovaluta-mining uten å etterlate åpenbare spor på systemet.
Miljøsjekker og Tilgangsmetoder
Som et ekstra forsvar er loaderen programmert til å utføre en serie miljøsjekker, som å skanne etter tegn på et sandkassemiljø og inspisere verten for installerte antivirusprodukter. Utførelsen fortsetter kun hvis Windows Defender er den eneste aktive beskyttelsen. Videre, hvis den infiserte brukerkontoen mangler administrative rettigheter, prøver programmet å omgå Brukerkontroll for å få hevet tilgang.
Når disse betingelsene er oppfylt, laster programmet ned og kjører NBMiner, et velkjent verktøy for kryptovaluta-mining som bruker en datamaskins grafikkprosesseringsenhet for å mine kryptovalutaer som Ravencoin (RVN) og Monero (XMR).
Respons fra Darktrace
Darktrace klarte å begrense angrepet ved å bruke sitt autonome respons-system, som forhindret enheten fra å opprette utgående forbindelser og blokkerte spesifikke forbindelser til mistenkelige endepunkter.
«Etter hvert som kryptovaluta fortsetter å vokse i popularitet, som sett med den pågående høye verdsettelsen av den globale kryptovaluta-markedsverdien (nesten USD 4 trillioner på tidspunktet for skriving), vil trusselaktører fortsette å se kryptovaluta-mining som en lønnsom virksomhet,» skrev Darktrace-forskerne.
Tidligere Kampanjer
Tilbake i juli flagget Darktrace en separat kampanje der ondsinnede aktører brukte komplekse sosialtekniske taktikker, som å utgi seg for ekte selskaper, for å lure brukere til å laste ned endret programvare som distribuerer kryptovaluta-stjeling malware. I motsetning til den nevnte cryptojacking-ordningen, målrettet denne tilnærmingen både Windows- og macOS-systemer og ble utført av uvitende ofre som trodde de interagerte med selskapsinsidere.
