Darktrace 標記了能夠繞過 Windows Defender 的新型加密劫持活動

幣界網消息，網路安全公司 Darktrace 發現了一項新的加密劫持活動，該活動旨在繞過 Windows Defender 並部署加密貨幣挖礦軟件。Darktrace 的研究人員 Keanna Grelicha 和 Tara Gould 在一份與 crypto.news 分享的報告中解釋說，這項加密劫持活動於 7 月下旬首次被發現，涉及一個多階段感染鏈，該感染鏈悄悄地劫持計算機的處理能力來挖掘加密貨幣。研究人員表示，該活動專門針對基於 Windows 的系統，通過利用 PowerShell（微軟內置的命令行 shell 和腳本語言）來實現，不良行爲者可以通過它運行惡意腳本並獲得對主機系統的特權訪問。這些惡意腳本旨在直接在系統內存 (RAM) 上運行，因此，通常依賴於掃描系統硬盤驅動器上的文件的傳統防病毒工具無法檢測到惡意進程。隨後，攻擊者使用 AutoIt 編程語言（這是一種通常由 IT 專業人員用於自動化任務的 Windows 工具）將惡意加載程序注入到合法的 Windows 進程中，然後下載並執行加密貨幣挖礦程序，而不會在系統上留下明顯的痕跡。作爲額外的防御手段，該加載程序被編程爲執行一系列環境檢查，例如掃描沙盒環境的跡象以及檢查主機上安裝的防病毒產品。只有當 Windows Defender 是唯一的活動保護時，執行才會繼續。此外，如果受感染的用戶帳戶缺乏管理權限，該程序會嘗試繞過用戶帳戶控制以獲得更高的訪問權限。當滿足這些條件時，該程序會下載並執行 NBMiner，這是一種衆所周知的加密貨幣挖礦工具，它使用計算機的圖形處理單元來挖掘 Ravencoin ( RVN ) 和 Monero ( XMR ) 等加密貨幣。在這種情況下，Darktrace 能夠通過其自主響應系統來控制攻擊，方法是“阻止設備建立出站連接並阻止與可疑端點的特定連接”。Darktrace 的研究人員寫道：“隨着加密貨幣越來越受歡迎，正如全球加密貨幣市值持續高估（撰寫本文時接近 4 萬億美元）所見，威脅行爲者將繼續將加密貨幣挖礦視爲一項有利可圖的冒險活動。”早在 7 月，Darktrace 就標記了一項單獨的活動，其中不良行爲者使用復雜的社交工程策略（例如冒充真實公司）來誘騙用戶下載經過修改的軟件，該軟件會部署竊取加密貨幣的惡意軟件。與上述加密劫持計劃不同，這種方法同時針對 Windows 和 macOS 系統，並且由不知情的受害者自己執行，他們認爲自己正在與公司內部人員互動。