Zloupotreba Advanced Installer alata

Legitimni Windows alat koji se koristi za kreiranje softverskih paketa pod nazivom Advanced Installer zloupotrebljavaju zlonamjerni akteri kako bi ubacili zlonamjerni softver za rudarenje kriptovaluta na zaražene uređaje najmanje od novembra 2021. godine.

Source: Piqsels

Zloupotreba Advanced Installer alata

Zlonamjerni napadači koriste  Advanced Installer da spakuje druge legitimne programe za instalaciju softvera, kao što su Adobe Illustrator, Autodesk 3ds Max i SketchUp Pro, sa zlonamjernim skriptama i koristi funkciju prilagođenih radnji Advanced Installer alata da bi instalacija softvera izvršili zlonamjerne skripte. Zlonamjerni akteri vjerovatno iskorištavaju navedene softverske pakete zbog njihove potrebe za visokom snagom grafičke procesorske jedinice (GPU) za funkcionisanje, na koju se napadači oslanjaju na rudarenje kriptovalute.

Instalacije softvera koji su ciljane u ovoj kampanji posebno se koriste za 3D modeliranje i grafički dizajn, a većina njih koristi francuski jezik, što ukazuje na to da su žrtve vjerovatno u različitim poslovnim oblastima, uključujući arhitekturu, inženjering, građevinarstvo, proizvodnju i zabavu u zemljama u kojima dominira francuski jezik. Napadi su uglavnom usmjereni na korisnike u Francuskoj i Švajcarskoj, uz nekoliko infekcija u drugim geografskim oblastima, uključujući SAD, Kanadu, Alžir, Švedsku, Njemačku, Tunis, Madagaskar, Singapur i Vijetnam.

Funkcionisanje

Što se tiče početnog vektora pristupa, sumnja se da su tehnike trovanja optimizacije pretraživača (eng. search engine optimization – SEO poisoning) možda korišćene za isporuku posebno pripremljenih instalacija softvera na uređaj žrtve. Nakon završetka instalacije posebno pripremljenog instalacionog paketa, napadači koriste višestepene metodologije napada.

To podrazumijeva upotrebu M3_Mini_Rat PowerShell skripte koja se ponaša kao backdoor  i omogućava zlonamjernim akterima pokretanje dodanog zlonamjernog softvera, kao i više različitih vrsta zlonamjernih softvera za rudarenje kripto valuta, kao što su PhoenixMiner i lolMiner.

M3_Mini_Rat je PowerShell skripta sa mogućnostima udaljene administracije koja se uglavnom fokusira na izviđanje sistema i preuzimanje i izvršavanje drugih zlonamjernih binarnih datoteka, a dizajniran je  da kontaktira udaljeni server, iako trenutno ne reaguje, što otežava utvrđivanje tačne prirode zlonamjernog softvera koji je možda distribuiran kroz ovaj proces.

Druga dva zlonamjerna softvera se koriste za nezakonito rudarenje kriptovalute koristeći GPU resurse uređaja, gdje je PhoenikMiner zlonamjerni softver za rudarenje Ethereum kriptovaluta, dok je lolMiner softver za rudarenje otvorenog kôda koji se može koristiti za rudarenje dvije virtuelne valute u isto vreme.

Zaključak

Ovakve vrste napada samo ukazuju na  zabrinjavajući trend da zlonamjerni akteri zloupotrebljavaju legitimne alate i usluge u zlonamjerne svrhe. Za organizacije i pojedince je od ključnog značaja da ostanu na oprezu i primjenjuju robusne bezbjednosne mjere za zaštitu od takvih napada.

Zaštita

• Bezbjednosni timovi bi trebalo da blokiraju sve otkrivene indikatore kompromisa u ovom napadu od strane sigurnosnih istraživača, na svim primjenljivim bezbjednosnim rješenjima nakon validacije.
• Redovno pravljenje rezervne kopije podataka i čuvanje rezervne kopije van mreže ili na zasebnoj mreži.
• Korisnici ne bi trebalo da preuzimaju sumnjive aplikacije i priloge primljene preko Interneta i da budu oprezni na napade društvenog inženjeringa i phishing napade.
• Korisnici ne bi trebalo da preuzimaju, prihvataju ili izvršavaju datoteke ili posjećuju Internet lokacije ili prate veze koje pružaju nepoznati ili nepouzdani izvori.
• Potrebno je vršiti redovno ažuriranje antivirusnih riješenja,  operativnih sistema i aplikacija trećih strana na svim sistemima, mobilnim uređajima i serverima.