ไมโครซอฟท์เปิดเผยว่า การโจมตีการขุดเหรียญคริปโตชุดใหม่กำลังเล็งเป้าไปที่ผู้ใช้คอมพิวเตอร์ประสิทธิภาพสูง โดยเฉพาะผู้ชื่นชอบฮาร์ดแวร์และผู้เล่นเกม PC การโจมตีครั้งนี้ไม่ได้มุ่งเน้นการติดเชื้อในปริมาณมากเหมือนก่อนหน้านี้ แต่ให้ความสำคัญกับกำลังการประมวลผลของอุปกรณ์แต่ละเครื่อง เพื่อใช้ทรัพยากร GPU ระดับสูงในการขุดเหรียญอย่างผิดกฎหมาย
ใช้แชทบอท AI และผลลัพธ์การค้นหาเพื่อดึงการเข้าชม
ผู้เชี่ยวชาญของ Microsoft Defender ระบุว่า ผู้โจมตีกำลังใช้การปลอมแปลงผลการค้นหาผ่าน SEO และฝังลิงก์อันตรายไว้ในคำตอบของแชทบอทแบบโมเดลภาษาขนาดใหญ่ ผู้ใช้ที่ตั้งใจจะดาวน์โหลดเครื่องมือระบบหรือซอฟต์แวร์ทดสอบฮาร์ดแวร์ทั่วไป กลับถูกชี้นำไปยังเว็บไซต์ปลอมที่มีหน้าตาคล้ายกัน
ซอฟต์แวร์ที่ถูกใช้หลอกลวงรวมถึง CrystalDiskInfo, HWMonitor, FurMark เป็นต้น ผู้ใช้ดาวน์โหลดแล้วได้รับไฟล์ ZIP ที่มีไฟล์อันตราย ไม่ใช่ไฟล์ติดตั้งปกติ
ซ่อนโปรแกรมขุดผ่านเครื่องมือระบบ
หลังจากไฟล์ที่เป็นอันตรายถูกเรียกใช้งาน จะใช้ DLL side-loading เพื่อเริ่มทำงานอย่างเงียบๆ ในระบบ จากนั้นโซ่การโจมตีจะติดตั้งเครื่องมือจัดการระยะไกลที่ถูกต้องตามกฎหมาย เช่น ScreenConnect เพื่อให้ผู้โจมตีสามารถควบคุมอุปกรณ์ของเหยื่ออย่างต่อเนื่อง
ไมโครซอฟท์ระบุว่า ผู้โจมตียังใช้วิธีอื่นๆ เช่น “process hollowing” โหลด .NET ที่ปรับแต่งจะเริ่มต้นเครื่องมือของวินโดวส์ที่มีลายเซ็นของไมโครซอฟท์ ก่อนที่จะฝังรหัสการขุดลงในพื้นที่หน่วยความจำของมัน เพื่อลดความเป็นไปได้ที่จะถูกตรวจจับ
ตรวจสอบการใช้งาน GPU เพื่อหลีกเลี่ยงการถูกตรวจจับ
มัลแวร์ประเภทนี้จะติดตามสถานะของโฮสต์อย่างต่อเนื่อง รวมถึงการใช้งาน GPU และเวลาที่ผู้ใช้ไม่ได้ใช้งาน เมื่อโหลดระบบเพิ่มขึ้นหรือผู้ใช้กำลังใช้งานคอมพิวเตอร์ โปรแกรมขุดจะหยุดทำงานอัตโนมัติ เพื่อหลีกเลี่ยงไม่ให้ผู้ถูกโจมตีสังเกตเห็นการลดลงอย่างฉับพลันของประสิทธิภาพ
ในขณะเดียวกัน โปรแกรมที่มีเจตนาไม่ดียังจะเรียกใช้ Windows PowerShell ซ้ำๆ เพื่อพยายามเพิ่มเส้นทางที่เกี่ยวข้องลงในรายการยกเว้นของซอฟต์แวร์ป้องกันไวรัส เพื่อยืดระยะเวลาการอยู่รอดของมัน
ไมโครซอฟต์ระบุว่า Microsoft Defender Antivirus และ Microsoft Defender for Endpoint สามารถระบุและบล็อกภัยคุกคามที่เกี่ยวข้องกับการโจมตีชุดนี้ได้