Darktrace ostrzega przed nową kampanią cryptojackingu, która potrafi ominąć Windows Defender. Kampanie cryptojackingu za pomocą inżynierii społecznej.

Firma zajmująca się cyberbezpieczeństwem, Darktrace, zidentyfikowała nową kampanię cryptojackingu zaprojektowaną do omijania Windows Defender i wdrażania oprogramowania do kopania kryptowalut.

Kampania cryptojackingu, po raz pierwszy zidentyfikowana pod koniec lipca, obejmuje wieloetapowy łańcuch infekcji, który po cichu przejmuje moc obliczeniową komputera w celu kopania kryptowalut, jak wyjaśnili badacze Darktrace, Keanna Grelicha i Tara Gould, w raporcie udostępnionym crypto.news.

Zgodnie z informacjami badaczy, kampania ta celuje szczególnie w systemy oparte na Windows, wykorzystując PowerShell, wbudowaną powłokę wiersza poleceń i język skryptowy firmy Microsoft, za pomocą którego przestępcy mogą uruchamiać złośliwe skrypty i uzyskiwać uprzywilejowany dostęp do systemu gospodarza.

Te złośliwe skrypty są zaprojektowane do uruchamiania bezpośrednio w pamięci systemowej (RAM), w wyniku czego tradycyjne narzędzia antywirusowe, które zazwyczaj polegają na skanowaniu plików na dyskach twardych systemu, nie są w stanie wykryć złośliwego procesu.

Następnie atakujący wykorzystują język programowania AutoIt, który jest narzędziem Windows zwykle używanym przez specjalistów IT do automatyzacji zadań, aby wstrzyknąć złośliwy loader do legalnego procesu Windows, który następnie pobiera i uruchamia program do kopania kryptowalut bez pozostawiania oczywistych śladów w systemie.

Jako dodatkowa linia obrony, loader jest zaprogramowany do wykonywania serii kontroli środowiska, takich jak skanowanie pod kątem oznak środowiska sandbox oraz sprawdzanie obecności zainstalowanych produktów antywirusowych na hoście.

Wykonanie następuje tylko wtedy, gdy Windows Defender jest jedyną aktywną ochroną. Ponadto, jeśli zainfekowane konto użytkownika nie ma uprawnień administratora, program próbuje obejść Kontrolę Konta Użytkownika (User Account Control), aby uzyskać podwyższony dostęp.

Gdy te warunki zostaną spełnione, program pobiera i uruchamia NBMiner, znane narzędzie do kopania kryptowalut, które wykorzystuje procesor graficzny komputera do kopania kryptowalut takich jak Ravencoin (RVN) i Monero (XMR).

W tym przypadku Darktrace był w stanie powstrzymać atak, wykorzystując swój system Autonomous Response poprzez „uniemożliwienie urządzeniu nawiązywania połączeń wychodzących i blokowanie określonych połączeń z podejrzanymi punktami końcowymi”.

„W miarę jak kryptowaluty nadal zyskują na popularności, co widać po utrzymującej się wysokiej wycenie globalnej kapitalizacji rynku kryptowalut (prawie 4 biliony USD w momencie pisania), cyberprzestępcy będą nadal postrzegać kopanie kryptowalut jako dochodowe przedsięwzięcie” – napisali badacze Darktrace.

Kampanie cryptojackingu z wykorzystaniem inżynierii społecznej

W lipcu Darktrace wykrył osobną kampanię, w której przestępcy wykorzystywali złożone techniki inżynierii społecznej, takie jak podszywanie się pod prawdziwe firmy, aby nakłonić użytkowników do pobrania zmodyfikowanego oprogramowania wdrażającego złośliwe oprogramowanie kradnące kryptowaluty.

W przeciwieństwie do wspomnianego wcześniej schematu cryptojackingu, to podejście było wymierzone zarówno w systemy Windows, jak i macOS, a jego wykonanie następowało przez nieświadomych ofiar, które wierzyły, że mają do czynienia z pracownikami firmy.