Ny kampanj för cryptojacking identifierad av Darktrace
Cybersecurity-företaget Darktrace har identifierat en ny kampanj för cryptojacking som är utformad för att kringgå Windows Defender och installera mjukvara för kryptovaluta-mining. Kampanjen, som först upptäcktes i slutet av juli, involverar en flerledad infekteringskedja som tyst kapar en dators processorkraft för att bryta kryptovaluta.
Tekniker och metoder
Darktrace-forskarna Keanna Grelicha och Tara Gould förklarade i en rapport som delades med crypto.news att kampanjen specifikt riktar sig mot Windows-baserade system genom att utnyttja PowerShell, Microsofts inbyggda kommandoradsgränssnitt och skriptspråk. Genom detta kan illvilliga aktörer köra skadliga skript och få privilegierad åtkomst till värdsystemet.
Dessa skript är utformade för att köras direkt i systemets minne (RAM), vilket gör att traditionella antivirusverktyg, som vanligtvis förlitar sig på att skanna filer på en dators hårddiskar, inte kan upptäcka den skadliga processen. Angriparna använder programmeringsspråket AutoIt, ett verktyg som vanligtvis används av IT-professionella för att automatisera uppgifter, för att injicera en skadlig loader i en legitim Windows-process.
Denna loader laddar sedan ner och kör ett program för kryptovaluta-mining utan att lämna uppenbara spår på systemet. Som ett extra försvar är loadern programmerad att utföra en serie miljökontroller, såsom att skanna efter tecken på en sandbox-miljö och inspektera värden för installerade antivirusprodukter. Exekvering fortsätter endast om Windows Defender är det enda aktiva skyddet.
Om det infekterade användarkontot saknar administrativa rättigheter försöker programmet kringgå User Account Control för att få förhöjd åtkomst. När dessa villkor är uppfyllda laddar programmet ner och kör NBMiner, ett välkänt verktyg för kryptovaluta-mining som använder en dators grafiska processor för att bryta kryptovalutor som Ravencoin (RVN) och Monero (XMR).
Darktrace’s respons
Darktrace lyckades begränsa attacken med hjälp av sitt Autonomous Response-system genom att
”förhindra enheten från att göra utgående anslutningar och blockera specifika anslutningar till misstänkta slutpunkter.”
”När kryptovaluta fortsätter att växa i popularitet, vilket vi ser med den pågående höga värderingen av den globala kryptovalutamarknadens kapitalisering (nästan 4 biljoner USD vid tidpunkten för skrivandet), kommer hotaktörer att fortsätta se kryptovaluta-mining som en lönsam verksamhet,” skrev Darktrace-forskarna.
Relaterade hot
I juli flaggade Darktrace en separat kampanj där illvilliga aktörer använde komplexa sociala ingenjörstaktiker, såsom att utge sig för att vara verkliga företag, för att lura användare att ladda ner ändrad mjukvara som installerar kryptovaluta-stjälande malware. Till skillnad från den nämnda kampanjen för cryptojacking riktade sig denna metod mot både Windows- och macOS-system och utfördes av ovetande offer som trodde att de interagerade med företagets insidrare.
