การระบุแคมเปญการขโมยพลังการประมวลผล
บริษัทด้านความปลอดภัยไซเบอร์ Darktrace ได้ระบุแคมเปญการขโมยพลังการประมวลผลใหม่ที่ออกแบบมาเพื่อหลบเลี่ยง Windows Defender และติดตั้งซอฟต์แวร์ขุด cryptocurrency. แคมเปญการขโมยพลังการประมวลผลนี้ถูกระบุครั้งแรกในช่วงปลายเดือนกรกฎาคม ซึ่งเกี่ยวข้องกับห่วงโซ่การติดเชื้อหลายขั้นตอนที่แอบแฝงการขโมยพลังการประมวลผลของคอมพิวเตอร์เพื่อขุด cryptocurrency.
วิธีการโจมตี
นักวิจัยของ Darktrace ได้แก่ Keanna Grelicha และ Tara Gould ได้อธิบายไว้ในรายงานที่แชร์กับ crypto.news. ตามที่นักวิจัยกล่าว แคมเปญนี้มุ่งเป้าไปที่ระบบที่ใช้ Windows โดยการใช้ประโยชน์จาก PowerShell ซึ่งเป็นเชลล์คำสั่งและภาษาสคริปต์ที่พัฒนาโดย Microsoft.
“PowerShell ช่วยให้ผู้ไม่หวังดีสามารถเรียกใช้สคริปต์ที่เป็นอันตรายและเข้าถึงระบบโฮสต์ได้อย่างมีสิทธิ์”
สคริปต์ที่เป็นอันตรายเหล่านี้ถูกออกแบบมาให้ทำงานโดยตรงในหน่วยความจำของระบบ (RAM) ซึ่งส่งผลให้เครื่องมือป้องกันไวรัสแบบดั้งเดิมที่มักพึ่งพาการสแกนไฟล์บนฮาร์ดไดรฟ์ไม่สามารถตรวจจับกระบวนการที่เป็นอันตรายได้.
การใช้ AutoIt ในการโจมตี
หลังจากนั้น ผู้โจมตีใช้ภาษาการเขียนโปรแกรม AutoIt ซึ่งเป็นเครื่องมือ Windows ที่มักใช้โดยผู้เชี่ยวชาญด้าน IT เพื่อทำให้การทำงานอัตโนมัติ เพื่อฉีดโหลดที่เป็นอันตรายเข้าสู่กระบวนการ Windows ที่ถูกต้องตามกฎหมาย.
โหลดเดอร์ถูกตั้งโปรแกรมให้ทำการตรวจสอบสภาพแวดล้อมหลายชุด เช่น การสแกนหาสัญญาณของสภาพแวดล้อมแบบแซนด์บ็อกซ์และตรวจสอบโฮสต์สำหรับผลิตภัณฑ์ป้องกันไวรัสที่ติดตั้งอยู่. การดำเนินการจะดำเนินต่อไปก็ต่อเมื่อ Windows Defender เป็นการป้องกันที่ใช้งานอยู่เพียงอย่างเดียว.
การดาวน์โหลดและดำเนินการ NBMiner
เมื่อเงื่อนไขเหล่านี้ถูกต้อง โปรแกรมจะดาวน์โหลดและดำเนินการ NBMiner ซึ่งเป็นเครื่องมือขุด cryptocurrency ที่มีชื่อเสียงซึ่งใช้หน่วยประมวลผลกราฟิกของคอมพิวเตอร์ในการขุด cryptocurrencies เช่น Ravencoin (RVN) และ Monero (XMR).
ในกรณีนี้ Darktrace สามารถควบคุมการโจมตีได้โดยใช้ระบบการตอบสนองอัตโนมัติของตน โดย “ป้องกันอุปกรณ์จากการเชื่อมต่อออกไปและบล็อกการเชื่อมต่อเฉพาะกับจุดสิ้นสุดที่น่าสงสัย”.
การเติบโตของ cryptocurrency และการโจมตีที่เกี่ยวข้อง
นักวิจัยของ Darktrace เขียนไว้ว่า “เมื่อ cryptocurrency ยังคงเติบโตในความนิยม ตามที่เห็นจากการประเมินมูลค่าตลาด cryptocurrency ทั่วโลกที่สูงอย่างต่อเนื่อง (เกือบ 4 ล้านล้านดอลลาร์สหรัฐ ณ เวลาที่เขียน) ผู้กระทำผิดจะยังคงมองว่าการขุด cryptocurrency เป็นการลงทุนที่มีกำไร”.
ในเดือนกรกฎาคม Darktrace ได้แจ้งเตือนแคมเปญแยกต่างหากที่ผู้ไม่หวังดีใช้กลยุทธ์การหลอกลวงทางสังคมที่ซับซ้อน เช่น การปลอมตัวเป็นบริษัทจริง เพื่อหลอกล่อผู้ใช้ให้ดาวน์โหลดซอฟต์แวร์ที่ถูกเปลี่ยนแปลงซึ่งติดตั้งมัลแวร์ขโมย cryptocurrency.
แตกต่างจากแผนการขโมยพลังการประมวลผลที่กล่าวถึงข้างต้น วิธีการนี้มุ่งเป้าไปที่ทั้งระบบ Windows และ macOS และดำเนินการโดยเหยื่อที่ไม่รู้ตัวซึ่งเชื่อว่าพวกเขากำลังติดต่อกับบุคคลภายในบริษัท.
