Uusi Cryptojacking-kampanja
Kyberturvallisuusyritys Darktrace on tunnistanut uuden cryptojacking-kampanjan, joka on suunniteltu ohittamaan Windows Defender ja asentamaan kryptovaluuttojen louhintaa varten tarkoitettua ohjelmistoa. Kampanja, joka havaittiin ensimmäisen kerran heinäkuun lopulla, sisältää monivaiheisen infektioketjun, joka hiljaisesti kaappaa tietokoneen prosessointitehon kryptovaluuttojen louhintaa varten.
Infektioketju ja hyökkäystekniikat
Darktracen tutkijat Keanna Grelich ja Tara Gould selittivät raportissaan, joka julkaistiin crypto.news-sivustolla. Tutkijoiden mukaan kampanja kohdistuu erityisesti Windows-pohjaisiin järjestelmiin hyödyntämällä PowerShellia, Microsoftin sisäänrakennettua komentorivikäyttöliittymää ja skriptikieltä. Pahantahtoiset toimijat voivat suorittaa haitallisia skriptejä ja saada etuoikeutetun pääsyn isäntäjärjestelmään.
Nämä haitalliset skriptit on suunniteltu toimimaan suoraan järjestelmän muistissa (RAM), minkä vuoksi perinteiset virustorjuntatyökalut, jotka yleensä perustuvat tiedostojen skannaamiseen järjestelmän kovalevyillä, eivät pysty havaitsemaan haitallista prosessia.
Tämän jälkeen hyökkääjät käyttävät AutoIt-ohjelmointikieltä, joka on Windows-työkalu, jota IT-ammattilaiset yleensä käyttävät tehtävien automatisointiin, injektoidakseen haitallisen lataajan lailliseen Windows-prosessiin. Tämä prosessi lataa ja suorittaa kryptovaluuttojen louhintaprogramman jättämättä ilmeisiä jälkiä järjestelmään.
Ympäristötarkistukset ja pääsynhallinta
Lisäpuolustuskeinona lataaja on ohjelmoitu suorittamaan sarja ympäristötarkistuksia, kuten skannaamaan merkkejä hiekkalaatikkoympäristöstä ja tarkistamaan isäntää asennettujen virustorjuntatuotteiden varalta. Suoritus jatkuu vain, jos Windows Defender on ainoa aktiivinen suojaus.
Lisäksi, jos tartunnan saanut käyttäjätili ei omaa järjestelmänvalvojan oikeuksia, ohjelma yrittää ohittaa Käyttäjätilin valvonnan saadakseen korotetun pääsyn. Kun nämä ehdot täyttyvät, ohjelma lataa ja suorittaa NBMinerin, tunnetun kryptovaluuttojen louhintatyökalun, joka käyttää tietokoneen grafiikkaprosessoria kryptovaluuttojen, kuten Ravencoinin (RVN) ja Moneron (XMR), louhintaan.
Darktracen toimet ja tulevaisuuden uhkat
Darktrace pystyi rajoittamaan hyökkäystä käyttämällä itsenäistä vastausjärjestelmäänsä, estämällä laitetta tekemästä ulospäin suuntautuvia yhteyksiä ja estämällä erityisiä yhteyksiä epäilyttäviin päätepisteisiin.
”Kun kryptovaluutta jatkaa kasvuaan suosiotaan, kuten näkyy globaalin kryptovaluuttamarkkinan arvostuksen jatkuvasta korkeasta tasosta (lähes 4 biljoonaa USD kirjoitushetkellä), uhkaavat toimijat tulevat edelleen pitämään kryptovaluuttojen louhintaa kannattavana liiketoimintana,” Darktracen tutkijat kirjoittivat.
Heinäkuussa Darktrace ilmoitti erillisestä kampanjasta, jossa pahantahtoiset toimijat käyttivät monimutkaisia sosiaalisen manipuloinnin taktiikoita, kuten todellisten yritysten esittämistä, huijatakseen käyttäjiä lataamaan muokattua ohjelmistoa, joka asentaa kryptovaluuttoja varastavaa haittaohjelmaa. Toisin kuin edellä mainittu cryptojacking-kampanja, tämä lähestymistapa kohdistui sekä Windows- että macOS-järjestelmiin ja toteutettiin tietämättömien uhreiden toimesta, jotka uskoivat olevan vuorovaikutuksessa yrityksen sisäisten henkilöiden kanssa.
