Kampanye Cryptojacking Baru Ditemukan oleh Darktrace
Perusahaan keamanan siber Darktrace telah mengidentifikasi kampanye cryptojacking baru yang dirancang untuk melewati Windows Defender dan menginstal perangkat lunak penambangan kripto. Kampanye ini pertama kali terdeteksi pada akhir Juli dan melibatkan rantai infeksi multi-tahap yang secara diam-diam membajak daya pemrosesan komputer untuk menambang cryptocurrency.
Metode Serangan
Peneliti Darktrace, Keanna Grelicha dan Tara Gould, menjelaskan dalam laporan yang dibagikan dengan crypto.news bahwa kampanye ini secara khusus menargetkan sistem berbasis Windows dengan mengeksploitasi PowerShell, yaitu shell baris perintah dan bahasa skrip bawaan Microsoft. Melalui PowerShell, pelaku jahat dapat menjalankan skrip berbahaya dan mendapatkan akses istimewa ke sistem host.
Skrip berbahaya ini dirancang untuk dijalankan langsung di memori sistem (RAM), sehingga alat antivirus tradisional yang biasanya bergantung pada pemindaian file di hard drive tidak dapat mendeteksi proses berbahaya tersebut. Selanjutnya, penyerang menggunakan bahasa pemrograman AutoIt, yang merupakan alat Windows yang biasanya digunakan oleh profesional TI untuk mengotomatiskan tugas, untuk menyuntikkan loader berbahaya ke dalam proses Windows yang sah.
Loader ini kemudian mengunduh dan mengeksekusi program penambangan cryptocurrency tanpa meninggalkan jejak yang jelas di sistem. Sebagai tambahan garis pertahanan, loader diprogram untuk melakukan serangkaian pemeriksaan lingkungan, seperti memindai tanda-tanda lingkungan sandbox dan memeriksa host untuk produk antivirus yang terinstal. Eksekusi hanya dilanjutkan jika Windows Defender adalah satu-satunya perlindungan aktif.
Strategi Penyerang
Jika akun pengguna yang terinfeksi tidak memiliki hak administratif, program ini berusaha melewati Kontrol Akun Pengguna untuk mendapatkan akses yang lebih tinggi. Ketika kondisi ini terpenuhi, program mengunduh dan mengeksekusi NBMiner, alat penambangan kripto yang terkenal yang menggunakan unit pemrosesan grafis komputer untuk menambang cryptocurrency seperti Ravencoin (RVN) dan Monero (XMR).
Respons Darktrace
Dalam hal ini, Darktrace mampu menahan serangan menggunakan sistem Respons Otonomnya dengan “mencegah perangkat membuat koneksi keluar dan memblokir koneksi tertentu ke titik akhir yang mencurigakan.”
“Seiring dengan terus berkembangnya popularitas cryptocurrency, seperti yang terlihat dengan valuasi tinggi yang sedang berlangsung dari kapitalisasi pasar cryptocurrency global (hampir USD 4 triliun pada saat penulisan), pelaku ancaman akan terus melihat penambangan kripto sebagai usaha yang menguntungkan,” tulis peneliti Darktrace.
Kembali pada bulan Juli, Darktrace juga menandai kampanye terpisah di mana pelaku jahat menggunakan taktik rekayasa sosial yang kompleks, seperti menyamar sebagai perusahaan nyata, untuk menipu pengguna agar mengunduh perangkat lunak yang dimodifikasi yang menyebarkan malware pencuri kripto. Berbeda dengan skema cryptojacking yang disebutkan sebelumnya, pendekatan ini menargetkan sistem Windows dan macOS dan dieksekusi oleh korban yang tidak menyadari bahwa mereka sedang berinteraksi dengan orang dalam perusahaan.
