Gli esperti di Cisco Talos hanno individuato diversi attacchi contro graphic designer e altri utenti che usano software di grafica e modellazione 3D. L’obiettivo è installare un cryptominer che sfrutta la potenza della GPU per generare criptovalute. I cybercriminali hanno cercato di installare un RAT (Remote Access Trojan) durante la stessa campagna in corso da fine 2021.
Cryptominer e RAT
Le vittime sono principalmente aziende o singoli professionisti che usano specifici software per progettazione, modellazione 3D e editing video. La scelta è dovuta alla presenza di GPU più potenti nei loro computer e quindi alla maggiore velocità di generazione delle criptovalute.
La campagna prevede due fasi. Durante la prima fase viene installato il RAT per ottenere la persistenza tramite backdoor, mentre durante la seconda fase viene installato il cryptominer. In entrambi i casi, il malware è nascosto nell’installer, creato con il tool Advanced Installer, che contiene script batch e PowerShell, oltre al pacchetto del software legittimo, come Adobe Illustrator, Autodesk 3ds Max e SketchUp Pro. Le versioni modificate sono pubblicizzate sui motori di ricerca con tecniche black hat SEO.
Quando l’ignara vittima clicca sugli installer per Windows, gli script vengono copiati su disco ed eseguono la backdoor M3_Mini_Rat. Un altro script preleva un archivio ZIP, dal quale estrae il cryptominer (PhoenixMiner o lolMiner) che genera Ethereum e altre criptovalute sfruttando le GPU AMD, NVIDIA e Intel (l’uso della GPU è impostato al 75%). I dati raccolti dal RAT sono inviati al server C2 (command and control), mentre le criptovalute vengono trasferite a diversi wallet.
Ti potrebbe interessare
9 set 2023