Microsoft розкрила, що нова хвильа атак з майнінгом криптовалют звертається до користувачів потужних комп’ютерів, зокрема ентузіастів апаратного забезпечення та гравців у ПК-ігри. На відміну від попередніх атак, спрямованих на масове зараження, ця атака зосереджена на отриманні обчислювальної потужності з окремих пристроїв, метою якої є незаконне використання ресурсів високопродуктивних GPU.
Привернення трафіку за допомогою чат-ботів з ІШ та результатів пошуку
Експерти Microsoft Defender повідомляють, що зловмисники використовують отруєння пошукової оптимізації та вбудовують шкідливі посилання в відповіді чат-ботів на основі великих мовних моделей. Користувачі, які намагаються завантажити поширені системні інструменти або програми для тестування апаратного забезпечення, перенаправляються на фальшиві веб-сайти, що виглядають подібно до справжніх.
Програмне забезпечення, яке використовувалося для обману, включає CrystalDiskInfo, HWMonitor, FurMark тощо. Після завантаження користувачі отримують не звичайний встановлювальний файл, а ZIP-архів із шкідливими файлами.
Приховати майнінгову програму за допомогою системних інструментів
Після запуску зловмисного файлу він таємно запускається в системі за допомогою DLL side-loading. Потім ланцюжок атаки впроваджує легітимні інструменти віддаленого управління, такі як ScreenConnect, щоб забезпечити постійний контроль над зараженим пристроєм.
Майкрософт зазначила, що атакуючі також використовували такі методи, як «використання пустоти процесу». Настраюваний .NET завантажувач спочатку запускає інструменти Windows з підписом Microsoft, а потім впроваджує код майнінгу в їхнє простір пам’яті, щоб зменшити ймовірність виявлення.
Моніторинг використання GPU для уникнення виявлення
Цей троян постійно моніторить стан хоста, включаючи використання GPU та час бездіяльності користувача. Коли навантаження на систему зростає або користувач активно використовує комп’ютер, майнінг-програма автоматично зупиняється, щоб жертва не помітила раптового падіння продуктивності.
Одночасно зловмисне програмне забезпечення повторно викликає Windows PowerShell, намагаючись додати відповідні шляхи до виключень антивірусного програмного забезпечення, щоб подовжити час життя.
Microsoft повідомила, що Microsoft Defender Antivirus та Microsoft Defender for Endpoint вже можуть виявляти та блокувати загрози, пов’язані з цією хвилею атак.