{"id":5398,"date":"2023-09-15T21:02:25","date_gmt":"2023-09-15T19:02:25","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5398"},"modified":"2023-09-15T21:02:25","modified_gmt":"2023-09-15T19:02:25","slug":"zloupotreba-advanced-installer-alata","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/09\/15\/zloupotreba-advanced-installer-alata\/","title":{"rendered":"Zloupotreba Advanced Installer alata"},"content":{"rendered":"

Legitimni Windows alat koji se koristi za kreiranje softverskih paketa pod nazivom Advanced Installer<\/em> zloupotrebljavaju zlonamjerni akteri<\/a> kako bi ubacili zlonamjerni softver za rudarenje kriptovaluta na zara\u017eene ure\u0111aje najmanje od novembra 2021. godine.<\/span><\/p>\n

\"Mining\"

Source: Piqsels<\/a><\/em><\/p><\/div>\n

Zloupotreba Advanced Installer<\/em> alata<\/strong><\/span><\/p>\n

Zlonamjerni napada\u010di koriste\u00a0 Advanced Installer<\/em> da spakuje druge legitimne programe za instalaciju softvera, kao \u0161to su Adobe Illustrator, Autodesk 3ds Max<\/em> i SketchUp Pro<\/em>, sa zlonamjernim skriptama i koristi funkciju prilago\u0111enih radnji Advanced Installer <\/em>alata da bi instalacija softvera izvr\u0161ili zlonamjerne skripte. Zlonamjerni akteri<\/a> vjerovatno iskori\u0161tavaju navedene softverske pakete zbog njihove potrebe za visokom snagom grafi\u010dke procesorske jedinice (GPU<\/em>) za funkcionisanje, na koju se napada\u010di oslanjaju na rudarenje kriptovalute.<\/span><\/p>\n

Instalacije softvera koji su ciljane u ovoj kampanji posebno se koriste za 3D<\/em> modeliranje i grafi\u010dki dizajn, a ve\u0107ina njih koristi francuski jezik, \u0161to ukazuje na to da su \u017ertve vjerovatno u razli\u010ditim poslovnim oblastima, uklju\u010duju\u0107i arhitekturu, in\u017eenjering, gra\u0111evinarstvo, proizvodnju i zabavu u zemljama u kojima dominira francuski jezik. Napadi su uglavnom usmjereni na korisnike u Francuskoj i \u0160vajcarskoj, uz nekoliko infekcija u drugim geografskim oblastima, uklju\u010duju\u0107i SAD, Kanadu, Al\u017eir, \u0160vedsku, Njema\u010dku, Tunis, Madagaskar, Singapur i Vijetnam.<\/span><\/p>\n

 <\/p>\n

Funkcionisanje<\/strong><\/span><\/p>\n

\u0160to se ti\u010de po\u010detnog vektora pristupa, sumnja se da su tehnike trovanja optimizacije pretra\u017eiva\u010da<\/a> (eng. search engine optimization \u2013 SEO poisoning<\/em>) mo\u017eda kori\u0161\u0107ene za isporuku posebno pripremljenih instalacija softvera na ure\u0111aj \u017ertve. Nakon zavr\u0161etka instalacije posebno pripremljenog instalacionog paketa, napada\u010di koriste vi\u0161estepene metodologije napada.<\/span><\/p>\n

To podrazumijeva upotrebu M3_Mini_Rat PowerShell <\/em>skripte koja se pona\u0161a kao backdoor<\/em>\u00a0<\/a> i omogu\u0107ava zlonamjernim akterima pokretanje dodanog zlonamjernog softvera<\/a>, kao i vi\u0161e razli\u010ditih vrsta zlonamjernih softvera za rudarenje kripto valuta, kao \u0161to su PhoenixMiner<\/em> i lolMiner<\/em>.<\/span><\/p>\n

M3_Mini_Rat<\/em> je PowerShell <\/em>skripta sa mogu\u0107nostima udaljene administracije koja se uglavnom fokusira na izvi\u0111anje sistema i preuzimanje i izvr\u0161avanje drugih zlonamjernih binarnih datoteka, a dizajniran je\u00a0 da kontaktira udaljeni server, iako trenutno ne reaguje, \u0161to ote\u017eava utvr\u0111ivanje ta\u010dne prirode zlonamjernog softvera koji je mo\u017eda distribuiran kroz ovaj proces.<\/span><\/p>\n

Druga dva zlonamjerna softvera se koriste za nezakonito rudarenje kriptovalute koriste\u0107i GPU<\/em> resurse ure\u0111aja, gdje je PhoenikMiner<\/em> zlonamjerni softver za rudarenje Ethereum<\/em> kriptovaluta, dok je lolMiner<\/em> softver za rudarenje otvorenog k\u00f4da koji se mo\u017ee koristiti za rudarenje dvije virtuelne valute u isto vreme.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/p>\n

Ovakve vrste napada samo ukazuju na\u00a0 zabrinjavaju\u0107i trend da zlonamjerni akteri zloupotrebljavaju legitimne alate i usluge u zlonamjerne svrhe. Za organizacije i pojedince je od klju\u010dnog zna\u010daja da ostanu na oprezu i primjenjuju robusne bezbjednosne mjere za za\u0161titu od takvih napada.<\/span><\/p>\n

 <\/p>\n

Za\u0161tita<\/span><\/strong><\/p>\n