Perusahaan keamanan siber Darktrace telah mengidentifikasi kampanye cryptojacking baru yang dirancang untuk melewati Windows Defender dan menginstal perangkat lunak penambangan kripto.
Ringkasan
Darktrace telah mengidentifikasi kampanye cryptojacking yang menargetkan sistem Windows.
Kampanye ini melibatkan penyebaran NBminer secara diam-diam untuk menambang cryptocurrency.
Kampanye cryptojacking, yang pertama kali diidentifikasi pada akhir Juli, melibatkan rantai infeksi multi-tahap yang dengan diam-diam merampok daya pemrosesan komputer untuk menambang kripto, peneliti Darktrace Keanna Grelicha dan Tara Gould menjelaskan dalam laporan yang dibagikan dengan crypto.news.
Menurut para peneliti, kampanye ini secara khusus menargetkan sistem berbasis Windows dengan mengeksploitasi PowerShell, shell baris perintah dan bahasa skrip bawaan Microsoft, melalui mana pelaku jahat dapat menjalankan skrip berbahaya dan mendapatkan akses istimewa ke sistem host.
Skrip jahat ini dirancang untuk dijalankan langsung pada memori sistem (RAM) dan, akibatnya, alat antivirus tradisional yang biasanya bergantung pada pemindaian file di hard drive sistem tidak dapat mendeteksi proses jahat tersebut.
Selanjutnya, penyerang menggunakan bahasa pemrograman AutoIt, yang merupakan alat Windows yang biasanya digunakan oleh profesional TI untuk mengotomatiskan tugas, untuk menyuntikkan pemuat jahat ke dalam proses Windows yang sah, yang kemudian mengunduh dan mengeksekusi program penambangan kripto tanpa meninggalkan jejak yang jelas di sistem.
Sebagai langkah pertahanan tambahan, pemuat diprogram untuk melakukan serangkaian pemeriksaan lingkungan, seperti memindai tanda-tanda lingkungan sandbox dan memeriksa host untuk produk antivirus yang terinstal.
Eksekusi hanya dilanjutkan jika Windows Defender adalah satu-satunya perlindungan aktif. Selain itu, jika akun pengguna yang terinfeksi tidak memiliki hak administratif, program mencoba untuk melewati Kontrol Akun Pengguna untuk mendapatkan akses yang lebih tinggi.
Ketika kondisi ini terpenuhi, program mengunduh dan menjalankan NBMiner, alat penambangan kripto yang terkenal yang menggunakan unit pemrosesan grafis komputer untuk menambang cryptocurrency seperti Ravencoin (RVN) dan Monero (XMR).
Dalam hal ini, Darktrace dapat menahan serangan menggunakan sistem Respons Otonomnya dengan "mencegah perangkat membuat koneksi keluar dan memblokir koneksi tertentu ke titik akhir yang mencurigakan."
“Seiring dengan terus meningkatnya popularitas cryptocurrency, seperti yang terlihat dengan penilaian tinggi yang sedang berlangsung dari kapitalisasi pasar cryptocurrency global ( hampir USD 4 triliun pada saat penulisan ), pelaku ancaman akan terus menganggap penambangan kripto sebagai usaha yang menguntungkan,” tulis para peneliti Darktrace.
Kampanye cryptojacking melalui rekayasa sosial
Kembali pada bulan Juli, Darktrace menandai kampanye terpisah di mana aktor jahat menggunakan taktik rekayasa sosial yang kompleks, seperti menyamar sebagai perusahaan nyata, untuk menipu pengguna agar mengunduh perangkat lunak yang dimodifikasi yang menyebarkan malware pencuri kripto.
Berbeda dengan skema cryptojacking yang disebutkan sebelumnya, pendekatan ini menargetkan sistem Windows dan macOS dan dilaksanakan oleh para korban yang tidak menyadari yang percaya bahwa mereka berinteraksi dengan orang dalam perusahaan.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Darktrace menandai kampanye cryptojacking baru yang dapat melewati Windows Defender
Perusahaan keamanan siber Darktrace telah mengidentifikasi kampanye cryptojacking baru yang dirancang untuk melewati Windows Defender dan menginstal perangkat lunak penambangan kripto.
Ringkasan
Kampanye cryptojacking, yang pertama kali diidentifikasi pada akhir Juli, melibatkan rantai infeksi multi-tahap yang dengan diam-diam merampok daya pemrosesan komputer untuk menambang kripto, peneliti Darktrace Keanna Grelicha dan Tara Gould menjelaskan dalam laporan yang dibagikan dengan crypto.news.
Menurut para peneliti, kampanye ini secara khusus menargetkan sistem berbasis Windows dengan mengeksploitasi PowerShell, shell baris perintah dan bahasa skrip bawaan Microsoft, melalui mana pelaku jahat dapat menjalankan skrip berbahaya dan mendapatkan akses istimewa ke sistem host.
Skrip jahat ini dirancang untuk dijalankan langsung pada memori sistem (RAM) dan, akibatnya, alat antivirus tradisional yang biasanya bergantung pada pemindaian file di hard drive sistem tidak dapat mendeteksi proses jahat tersebut.
Selanjutnya, penyerang menggunakan bahasa pemrograman AutoIt, yang merupakan alat Windows yang biasanya digunakan oleh profesional TI untuk mengotomatiskan tugas, untuk menyuntikkan pemuat jahat ke dalam proses Windows yang sah, yang kemudian mengunduh dan mengeksekusi program penambangan kripto tanpa meninggalkan jejak yang jelas di sistem.
Sebagai langkah pertahanan tambahan, pemuat diprogram untuk melakukan serangkaian pemeriksaan lingkungan, seperti memindai tanda-tanda lingkungan sandbox dan memeriksa host untuk produk antivirus yang terinstal.
Eksekusi hanya dilanjutkan jika Windows Defender adalah satu-satunya perlindungan aktif. Selain itu, jika akun pengguna yang terinfeksi tidak memiliki hak administratif, program mencoba untuk melewati Kontrol Akun Pengguna untuk mendapatkan akses yang lebih tinggi.
Ketika kondisi ini terpenuhi, program mengunduh dan menjalankan NBMiner, alat penambangan kripto yang terkenal yang menggunakan unit pemrosesan grafis komputer untuk menambang cryptocurrency seperti Ravencoin (RVN) dan Monero (XMR).
Dalam hal ini, Darktrace dapat menahan serangan menggunakan sistem Respons Otonomnya dengan "mencegah perangkat membuat koneksi keluar dan memblokir koneksi tertentu ke titik akhir yang mencurigakan."
“Seiring dengan terus meningkatnya popularitas cryptocurrency, seperti yang terlihat dengan penilaian tinggi yang sedang berlangsung dari kapitalisasi pasar cryptocurrency global ( hampir USD 4 triliun pada saat penulisan ), pelaku ancaman akan terus menganggap penambangan kripto sebagai usaha yang menguntungkan,” tulis para peneliti Darktrace.
Kampanye cryptojacking melalui rekayasa sosial
Kembali pada bulan Juli, Darktrace menandai kampanye terpisah di mana aktor jahat menggunakan taktik rekayasa sosial yang kompleks, seperti menyamar sebagai perusahaan nyata, untuk menipu pengguna agar mengunduh perangkat lunak yang dimodifikasi yang menyebarkan malware pencuri kripto.
Berbeda dengan skema cryptojacking yang disebutkan sebelumnya, pendekatan ini menargetkan sistem Windows dan macOS dan dilaksanakan oleh para korban yang tidak menyadari yang percaya bahwa mereka berinteraksi dengan orang dalam perusahaan.