Darktrace memperingatkan kampanye cryptojacking baru yang mampu melewati Windows Defender Kampanye cryptojacking melalui rekayasa sosial

Perusahaan keamanan siber Darktrace telah mengidentifikasi kampanye cryptojacking baru yang dirancang untuk melewati Windows Defender dan memasang perangkat lunak penambangan kripto.

Kampanye cryptojacking, yang pertama kali diidentifikasi pada akhir Juli, melibatkan rantai infeksi multi-tahap yang diam-diam membajak kekuatan pemrosesan komputer untuk menambang cryptocurrency, jelas peneliti Darktrace Keanna Grelicha dan Tara Gould dalam laporan yang dibagikan kepada crypto.news.

Menurut para peneliti, kampanye ini secara khusus menargetkan sistem berbasis Windows dengan mengeksploitasi PowerShell, shell command-line dan bahasa skrip bawaan Microsoft, yang memungkinkan pelaku jahat menjalankan skrip berbahaya dan mendapatkan akses istimewa ke sistem host.

Skrip berbahaya ini dirancang untuk dijalankan langsung pada memori sistem (RAM) dan, akibatnya, alat antivirus tradisional yang biasanya mengandalkan pemindaian file di hard drive sistem tidak dapat mendeteksi proses berbahaya tersebut.

Selanjutnya, penyerang menggunakan bahasa pemrograman AutoIt, yang merupakan alat Windows yang biasanya digunakan oleh profesional TI untuk mengotomatisasi tugas, untuk menyuntikkan loader berbahaya ke dalam proses Windows yang sah, yang kemudian mengunduh dan mengeksekusi program penambangan cryptocurrency tanpa meninggalkan jejak yang jelas di sistem.

Sebagai garis pertahanan tambahan, loader diprogram untuk melakukan serangkaian pemeriksaan lingkungan, seperti memindai tanda-tanda lingkungan sandbox dan memeriksa host untuk produk antivirus yang terpasang.

Eksekusi hanya akan dilanjutkan jika Windows Defender adalah satu-satunya perlindungan aktif. Selain itu, jika akun pengguna yang terinfeksi tidak memiliki hak administratif, program akan mencoba melewati User Account Control untuk mendapatkan akses yang lebih tinggi.

Ketika kondisi ini terpenuhi, program akan mengunduh dan mengeksekusi NBMiner, alat penambangan kripto yang terkenal yang menggunakan unit pemrosesan grafis komputer untuk menambang cryptocurrency seperti Ravencoin (RVN) dan Monero (XMR).

Dalam kasus ini, Darktrace berhasil menahan serangan menggunakan sistem Autonomous Response mereka dengan “mencegah perangkat melakukan koneksi keluar dan memblokir koneksi tertentu ke endpoint yang mencurigakan.”

“Seiring cryptocurrency terus tumbuh dalam popularitas, seperti yang terlihat dari valuasi tinggi kapitalisasi pasar cryptocurrency global yang sedang berlangsung (hampir USD 4 triliun pada saat penulisan), pelaku ancaman akan terus melihat penambangan kripto sebagai usaha yang menguntungkan,” tulis para peneliti Darktrace.

Kampanye cryptojacking melalui rekayasa sosial

Pada bulan Juli lalu, Darktrace menandai kampanye terpisah di mana pelaku jahat menggunakan taktik rekayasa sosial yang kompleks, seperti menyamar sebagai perusahaan nyata, untuk menipu pengguna agar mengunduh perangkat lunak yang telah diubah yang memasang malware pencuri kripto.

Tidak seperti skema cryptojacking yang disebutkan sebelumnya, pendekatan ini menargetkan baik sistem Windows maupun macOS dan dijalankan oleh korban yang tidak menyadari sendiri yang percaya bahwa mereka berinteraksi dengan orang dalam perusahaan.