微软最近发布了一份研究报告,指出全球范围内的高性能Windows 11和Windows 10电脑正成为一场新型加密挖矿攻击的重点目标。
为诱骗用户上钩,攻击者精心伪装成多款常见的系统工具和实用软件,例如CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack以及PDFgear等,以此降低用户的警惕性。
微软发现,当用户通过搜索引擎寻找这些工具时,往往会接触到那些利用搜索引擎优化(SEO)投毒手段被推高排名的恶意链接。此外,在今年四月的一些案例中,用户向AI助手咨询软件下载建议时,生成的回复中也出现了与攻击者相关的域名。
恶意软件通常以ZIP压缩文件的形式分发,这些文件被托管在特定的子域名上。微软分析表明,这些压缩包内不仅包含目标软件的合法可执行文件,还会捆绑一个在运行时自动加载的恶意动态链接库(DLL)。
一旦用户启动了看似正常的软件,其中的恶意DLL会随即调用系统程序msiexec.exe,悄悄地安装一个伪装成vcredist_x64.dll的ScreenConnect远程访问组件。这样一来,攻击者便能远程掌控受感染的电脑。
成功建立远程会话后,攻击者会部署一个名为SimpleRunPE.exe的安装文件。该文件运行后会把自己复制并重命名为RuntimeHost.exe,然后隐藏在Windows资源管理器中不常被注意的目录。同时,它还会设置六种不同的持久化机制,确保在系统重启后也能自动运行。
在某些情况下,恶意程序还会通过恶意的PowerShell脚本落地,并将自身伪装成vlc.exe,借此冒充著名的VideoLAN播放器的可执行文件,进一步迷惑用户。
为了规避检测,这个恶意样本还采用了进程镂空技术,将自身的恶意代码注入到微软签名的.NET工具中运行,其中就包括InstallUtil.exe。
它还会调用PowerShell,将自己的文件路径和进程添加到微软Defender的排除列表,以逃避安全软件的扫描。同时,该恶意程序还会检测虚拟机环境,并扫描40个常见的分析工具进程名称,一旦发现任何异常便立即终止运行。
在完成所有的隐藏和规避操作之后,攻击链便会下载并执行三款专为GPU设计的挖矿模块中的任意一种,包括gminer、lolMiner和SRBMiner-MULTI,这些程序都用于加密货币挖矿。