网络犯罪分子将合法的高级安装程序工具用于加密货币挖矿攻击

自2021年11月起，一个名为Advanced Installer的用于创建软件包的合法Windows工具被威胁行为者滥用，用于在感染的机器上投放加密货币挖矿恶意软件。

思科塔洛斯研究员Chetan Raghuprasad在一份技术报告中表示：“攻击者利用Advanced Installer打包其他合法软件安装程序，如Adobe Illustrator、Autodesk 3ds Max和SketchUp Pro，并使用Advanced Installer的自定义操作功能使软件安装程序执行恶意脚本。”

被植入木马的应用程序的性质表明，受害者很可能涉及建筑、工程、制造和娱乐等行业。软件安装程序主要使用法语，这表明法语用户成为攻击的目标。

这个攻击活动非常策略，因为这些行业的日常运营依赖于具备高度图形处理单元（GPU）性能的计算机，使其成为加密货币挖矿的有利目标。

思科对发送到攻击者基础设施的DNS请求数据进行的分析显示，受害者的分布范围主要涵盖法国和瑞士，其次是美国、加拿大、阿尔及利亚、瑞典、德国、突尼斯、马达加斯加、新加坡和越南等地的零星感染。

攻击最终导致部署了一个名为M3_Mini_Rat的PowerShell脚本，该脚本很可能充当后门，用于下载和执行其他威胁，以及多个加密货币挖矿恶意软件家族，如PhoenixMiner和lolMiner。

至于初始访问向量，有人怀疑可能使用了搜索引擎优化（SEO）欺诈技术，将植入恶意代码的软件安装程序传递给受害者的机器。

加密货币挖矿攻击
一旦启动安装程序，它将触发一个多阶段的攻击链，释放M3_Mini_Rat客户端存根和挖矿程序二进制文件。

Raghuprasad表示：“M3_Mini_Rat客户端是一个带有远程管理功能的PowerShell脚本，主要用于系统侦察、下载和执行其他恶意二进制文件。”

这个木马旨在与远程服务器联系，尽管目前没有响应，但很难确定可能通过该过程分发的恶意软件的确切性质。

另外两个恶意载荷用于非法利用机器的GPU资源进行加密货币挖矿。PhoenixMiner是一种以太坊加密货币挖矿恶意软件，而lolMiner是一种开源挖矿软件，可以同时挖掘两种虚拟货币。

在另一个滥用合法工具的案例中，Check Point警告称存在一种新型钓鱼攻击，利用Google Looker Studio创建虚假的加密货币钓鱼网站，以绕过保护措施。

安全研究员Jeremy Fuchs表示：“黑客利用它创建假的加密货币页面，旨在窃取资金和凭据。”

“这意味着黑客正在利用谷歌的权威性。电子邮件安全服务将观察所有这些因素，并且有很大的信心认定这不是钓鱼邮件，而且它来合自谷歌。”