Недавно Cyble Research & Intelligence Labs (CRIL) выявила несколько фишинговых кампаний, направленных на программное обеспечение MSI Afterburner для доставки вредоносного ПО для добычи монет. ТА, стоящие за этими кампаниями, использовали сложные фишинговые страницы, имитирующие легитимный сайт MSI Afterburner, чтобы заманить пользователей загрузить вредоносное ПО coin-miner, выполняющее процесс майнинга криптовалют. ТА размещали фишинговый сайт для доставки полезной нагрузки вредоносного ПО coin-miner в комплекте с легитимными установщиками MSI Afterburner.
Добыча криптовалют - это энерго- и ресурсоемкая деятельность, требующая специального оборудования, например, графических процессоров. Включая майнер монет в такие инструменты, как Afterburner, и устанавливая его на машину пользователя, TA могут перехватить вычислительную мощность машины жертвы для добычи криптовалют без ее согласия. На рисунке ниже показан фишинговый веб-сайт, созданный TAs.
За последние три месяца выявили около 50 фишинговых сайтов, нацеленных на MSI Afterburner для доставки вредоносного ПО на компьютер пользователя. На рисунке ниже показана хронология создания фишинговых сайтов, нацеленных на MSI Afterburner.
Indicators of Compromise
IPv4
- 104.20.67.143
Domains
- git.git.git.git.skblxin.matrizauto.net
- git.git.git.skblxin.matrizauto.net
- git.git.skblxin.matrizauto.net
- www.matrizauto.net
URLs
- http://45.87.0.89/api/endpoint.php
MD5
- 96a3469891a23e0aa49fd009979b668b
- a9e09703d13de2fd20ca8aab4e02e7c8
SHA1
- a785b651aa699ba651e9fccd94f86fefff88cc6a
- a9205e91e5694bb60efe73892bf14652e065bf67
SHA256
- 00e154eed00b71c0d11bd2caeb64fa2efcbb10524b797c076895752affa0f46c
- 2279b8cf7a2b1fa13f1832b4dc0331bd9f971240f38b0fbd694ed6aec093bb8d