เตือนภัย คนใช้การ์ดจอระดับสูงอาจตกเป็นเป้าหมายของ Crytomining
อาชญากรไซเบอร์ใช้ประโยชน์จากเครื่องมือ Windows ที่เรียกว่า ‘Advanced Installer’
เพื่อใช้เป็นช่องทางในการโจมตีคอมพิวเตอร์ระดับสูงด้วยเครื่องมือขุดเหมือง cryptocurrency
โดยกลุ่มเป้าหมายหลักเช่น นักออกแบบกราฟฟิค ที่ต้องใช้โปรแกรมสำหรับการสร้างแบบจำลอง 3 มิติและซอฟต์แวร์ออกแบบกราฟิกยอดนิยม เช่น Adobe Illustrator, Autodesk 3ds Max และ SketchUp Pro อย่างไรก็ตาม ตัวติดตั้งเหล่านี้มีสคริปต์ที่เป็นอันตรายที่ซ่อนอยู่ซึ่งแพร่ระบาดไปยังผู้ดาวน์โหลดด้วยโทรจันการเข้าถึงระยะไกล (RAT) และเพย์โหลดการขุด crypto
ผู้คุกคามกำลังมุ่งเน้นไปที่เป้าหมายเฉพาะเหล่านี้ เนื่องจากนักออกแบบกราฟิก แอนิเมเตอร์ และนักตัดต่อวิดีโอ มีแนวโน้มที่จะใช้คอมพิวเตอร์ที่มี GPU ที่ทรงพลังซึ่งรองรับอัตราแฮชการขุดที่สูงขึ้น ทำให้ได้เงินมากขึ้น
ปัจจุบันเหยื่อส่วนใหญ่อยู่ในฝรั่งเศส สวิตเซอร์แลนด์ อเมริกา แคนาดา เยอรมนี แอลจีเรีย และสิงคโปร์
วิธีการโจมตีทั้งสองรูปแบบ
นักวิเคราะห์ของสังเกตเห็นการโจมตีที่แตกต่างกันที่ใช้ในแคมเปญนี้
ทั้งสองครั้งผู้โจมตีใช้ตัวติดตั้งขั้นสูงเพื่อสร้างไฟล์ติดตั้งสำหรับ Windows ที่เต็มไปด้วย PowerShell และสคริปต์แบตช์ที่เป็นอันตรายซึ่งจะดำเนินการเมื่อตัวติดตั้งเปิดตัวผ่านฟีเจอร์ของซอฟต์แวร์ วิธีแรกใช้สคริปต์แบบแบตช์ (core.bat) เพื่อตั้งค่างานที่เกิดซ้ำซึ่งเรียกใช้สคริปต์ PowerShell ที่ถอดรหัสเพย์โหลดสุดท้าย (M3_Mini_Rat)
วิธีการโจมตีแบบที่สองจะปล่อยสคริปต์ที่เป็นอันตรายสองตัวคือ core.bat และ win.bat ซึ่งตั้งค่างานที่กำหนดเวลาไว้เพื่อเรียกใช้สคริปต์ PowerShell
PowerShell ที่ดำเนินการโดยไฟล์ win.bat จะถอดรหัสสคริปต์ดาวน์โหลดและดึงไฟล์ ZIP ที่มีเพย์โหลด (PhoenixMiner หรือ lolMiner) สคริปต์ PS ตัวที่สอง (ซึ่ง core.bat กำหนดเวลาไว้) และไฟล์ที่เข้ารหัสอื่น
โดยวิธีแรกจะเป็นการโจมตีแบบแบ็คดอร์ เพื่อรักษาการเข้าถึงระบบเป้าหมายให้ได้นาน และแนบเนียนที่สุด
การโจมตีแบบสองเน้นไปที่ cryptominers เพื่อให้ขุดได้เงินอย่างรวดเร็ว แต่มีความเสี่ยงสูงที่จะถูกตรวจพบมากกว่า
เพย์โหลดการขุดและ RAT
เพย์โหลด M3_Mini_Rat ช่วยให้ผู้โจมตีสามารถเข้าถึงได้จากระยะไกล ทำให้สามารถสำรวจระบบ และติดตั้งเพย์โหลดเพิ่มเติมบนระบบที่ติดไวรัสโดยตัวเครื่องมือ RAT มีหน้าที่ต่อไปนี้
- แอบตรวจสอบเก็บข้อมูลระบบ: รวบรวมรายละเอียด เช่น ชื่อผู้ใช้ เวอร์ชันระบบปฏิบัติการ สถานะการป้องกันไวรัส สถานะเครือข่าย และข้อมูลของฮาร์ดแวร์
- การจัดการกระบวนการ: แสดงรายการ และจัดการกระบวนการที่ทำงานอยู่ รวมถึงสามารถสั่งหยุดการทำงาน
- การสำรวจระบบไฟล์: ระบุไดรฟ์ และดึงรายละเอียดข้อมูลของโฟลเดอร์
- Command & Control: ใช้การเชื่อมต่อ TCP สำหรับงานการดูแลระบบระยะไกล และรับคำสั่ง
- การจัดการไฟล์: จัดการการดาวน์โหลด ตรวจสอบ เปลี่ยนชื่อ และลบไฟล์ดำเนินการไบนารีที่เป็นอันตรายได้
- การส่งข้อมูล: ส่งข้อมูล รวมถึงรายละเอียดข้อมูลที่ได้มากลับไปยังเซิร์ฟเวอร์ของผู้โจมตี
- การตรวจสอบพิเศษ: ระบุกระบวนการเฉพาะเซิร์ฟเวอร์เช่น เซิร์ฟเวอร์ศูนย์การเชื่อมต่อ Citrix
- ออก: เก็บข้อมูลออกจากเหยื่อได้อย่างปลอดภัย และจัดการสตรีมข้อมูล
เพย์โหลด PhoenixMiner และ lolMiner ทำหน้าที่ขุด cryptocurrency โดยการดึงพลังการคำนวณของกราฟิกการ์ด AMD, Nvidia และ Intel
PhoenixMiner เป็นตัวขุด Ethash (ETH, ETC, Musicoin, EXP, UBQ และอื่น ๆ ) ในขณะที่ lolMiner รองรับหลายโปรโตคอลรวมถึง Etchash, Autolykos2, Beam, Grin, Ae, ALPH, Flux, Equihash, Kaspa, Nexa, Ironfish และอื่น ๆ
เวอร์ชัน lolMiner ที่พบนี้คือ 1.76 ซึ่งรองรับการขุด cryptocurrencies สองสกุลพร้อมกัน
การตั้งค่า PhoenixMiner กำหนดขีดจำกัดพลังงาน GPU ไว้ที่ 75% และระบบควบคุมความเร็วสูงสุดที่ 65%
ข้อจำกัดที่คล้ายกันนี้พบได้ในพารามิเตอร์ lolMiner ซึ่งใช้พลังงาน GPU 75% และหยุดการขุดชั่วคราวหากอุณหภูมิสูงถึง 70 องศาเซลเซียสโดยการตั้งค่านี้ เพื่อพยายามหลีกเลี่ยงการถูกตรวจพบว่ามีการใช้ทรัพยากรมากเกินไปนั้นเอง
เตือนภัย คนใช้การ์ดจอระดับสูงอาจตกเป็นเป้าหมายของ Crytomining
ปกป้องข้อมูลของคุณด้วย Watchguard Endpoint Panda
การปกป้องข้อมูลของคุณเป็นสิ่งสำคัญบนโลกดิจิทัลปัจจุบัน ผลิตภัณฑ์ WatchGuard เช่น Watchguard EPDR Adaptive Defense 360 ปกป้องการท่องเว็บออนไลน์ของคุณประกอบด้วยการตรวจจับพฤติกรรมเพื่อป้องกัน และบล็อกการโจมตีแบบไม่มีไฟล์ตามสคริปต์ที่ฝังอยู่ในไฟล์ Office ตัวแอปพลิเคชันสามารถตรวจจับการทำงานที่ผิดปกติที่ เพื่อป้องกันการโจมตีได้ หรือใช้ช่องโหว่จากเว็บเบราว์เซอร์ ของแอปอื่นๆ เช่น Java Adobe Reader, Adobe Flash, Office ฯลฯ หากท่านสนใจทดลองใช้สามารถ ลงทะเบียนเพื่อขอทดลองได้ฟรี 30 วัน