Kampanye malware massal baru sedang menginfeksi pengguna dengan penambang cryptocurrency bernama SilentCryptominer dengan menyamar sebagai alat yang dirancang untuk menghindari blok internet dan pembatasan di sekitar layanan online.
Perusahaan cybersecurity Rusia Kaspersky mengatakan kegiatan ini merupakan bagian dari tren yang lebih besar di mana penjahat cyber semakin memanfaatkan alat Windows Packet Divert (WPD) untuk mendistribusikan malware dengan kedok program bypass pembatasan.
“Perangkat lunak semacam itu sering didistribusikan dalam bentuk arsip dengan instruksi instalasi teks, di mana pengembang merekomendasikan untuk menonaktifkan solusi keamanan, mengutip positif palsu,” kata para peneliti Leonid Bezvershenko, Dmitry Pikush, dan Oleg Kupreev. “Ini berperan di tangan penyerang dengan membiarkan mereka bertahan dalam sistem yang tidak terlindungi tanpa risiko deteksi.”
Pendekatan ini telah digunakan sebagai bagian dari skema yang merambat pencuri, alat akses jarak jauh (tikus), Trojan yang menyediakan akses jarak jauh tersembunyi, dan penambang cryptocurrency seperti Njrat, Xworm, Phemedrone, dan DCrat.
Twist terbaru dalam taktik ini adalah kampanye yang telah membahayakan lebih dari 2.000 pengguna Rusia dengan penambang yang menyamar sebagai alat untuk berkeliling blok berdasarkan Inspeksi Paket Deep (DPI). Program ini dikatakan telah diiklankan dalam bentuk tautan ke arsip jahat melalui saluran YouTube dengan 60.000 pelanggan.
Dalam eskalasi taktik berikutnya yang terlihat pada bulan November 2024, para aktor ancaman telah ditemukan menyamar sebagai pengembang alat tersebut untuk mengancam pemilik saluran dengan pemberitahuan pemogokan hak cipta palsu dan menuntut mereka memposting video dengan tautan berbahaya atau risiko menutup saluran karena pelanggaran yang seharusnya.
“Dan pada bulan Desember 2024, pengguna melaporkan distribusi versi yang terinfeksi penambang dari alat yang sama melalui saluran telegram dan YouTube lainnya, yang sejak itu telah ditutup,” kata Kaspersky.
Arsip yang terjebak booby telah ditemukan untuk mengemas eksekusi tambahan, dengan salah satu skrip batch yang sah dimodifikasi untuk menjalankan biner melalui PowerShell. Jika perangkat lunak antivirus yang diinstal dalam sistem mengganggu rantai serangan dan menghapus biner berbahaya, pengguna ditampilkan pesan kesalahan yang mendesak mereka untuk mengunduh ulang file dan menjalankannya setelah menonaktifkan solusi keamanan.
Executable adalah loader berbasis Python yang dirancang untuk mengambil malware tahap berikutnya, skrip Python lain yang mengunduh muatan SilentCryptominer Miner dan membuat kegigihan, tetapi tidak sebelum memeriksa jika berjalan di kotak pasir dan mengkonfigurasi pengecualian Windows Defender.
Penambang, berdasarkan pada penambang open-source XMRIG, empuk dengan blok data acak untuk mengembang secara artifisial ukuran file hingga 690 MB dan akhirnya menghambat analisis otomatis dengan solusi antivirus dan kotak pasir.
“Untuk siluman, silentCryptominer menggunakan proses pelindung untuk menyuntikkan kode penambang ke dalam proses sistem (dalam hal ini, dwm.exe),” kata Kaspersky. “Malware dapat menghentikan penambangan sementara proses yang ditentukan dalam konfigurasi aktif. Ini dapat dikontrol dari jarak jauh melalui panel web.”
