挖矿恶意软件瞄准图形设计师的高端显卡

思科 Talos 的安全研究人员发现了一个持续接近两年的针对图形设计师和 3D 建模人员的挖矿软件投放计划。网络犯罪分子使用加密货币挖掘恶意软件来劫持设计领域常用的高端显卡 (GPU)。

根据思科 Talos 周四发布的一份报告，该活动至少自 2021 年 11 月起就一直活跃。攻击者利用“高级安装程序”（一种合法的 Windows 软件打包工具）将加密货币挖掘恶意软件与 Adob​​e Illustrator 和Autodesk 3ds Max等合法软件捆绑在一起。

该犯罪活动之所以重点关注图形设计和 3D 建模软件，是因为这些工具需要高 GPU 能力，这满足了网络犯罪分子的加密货币挖矿需求。思科 Talos 解释说，这些威胁行为者使用高级安装程序的“自定义操作”功能将恶意脚本潜入软件安装过程中，使他们能够部署威胁。

有效负载包括 M3_Mini_Rat 客户端存根（创建后门）以及加密货币挖掘恶意软件（例如 PhoenixMiner 和多功能 lolMiner）。

“加密货币挖掘，尤其是在配备高端 GPU 的机器上，可能利润丰厚，而且恶意软件通常可以在后台秘密运行，仅消耗一小部分可用资源。Critical Start网络威胁研究高级经理 Callie Guenther 解释说：“这使得恶意活动能够持续更长时间，并且可能不会被用户注意到。”

“此外，对流行软件安装程序进行木马化的方法为威胁行为者提供了一种更简单的分发方法。利用搜索引擎优化投毒等策略可能会导致更高的下载率和后续感染率。”

此活动主要影响法语用户，主要是法国和瑞士的用户。然而，美国、加拿大、阿尔及利亚、瑞典、德国、突尼斯、马达加斯加、新加坡和越南等国家均出现了孤立感染。

建议图形设计师和 3D 建模师在安装软件时要小心。

Tanium技术客户管理高级总监 Shawn Surber 评论道：“像这样的长期持续的活动非常微妙且难以察觉，但可以对组织产生持久影响。”

“这也是为什么运营和安全团队需要跨越传统孤岛进行合作的一个很好的例子。一旦进入，这种类型的攻击对于传统安全工具来说几乎是看不见的。因此，调整性能监控等运营工具来观察此类异常行为并发出警报非常重要。”