Легитимный инструмент для создания программных пакетов под названием Advanced Installer продолжает набирать популярность среди злоумышленников. Его эксплуатируют для установки вредоносного ПО, связанного с майнингом криптовалют, на зараженных компьютерах с ноября 2021 года.
«Злоумышленник применяет Advanced Installer, чтобы упаковать другие легитимные установщики, такие как Adobe Illustrator, Autodesk 3ds Max и SketchUp Pro, с вредоносными скриптами». — объясняет исследователь из Cisco Talos — Четан Рагхупрасад.
Ключевой элемент атаки — функция Custom Actions в Advanced Installer. Она позволяет автоматизировать процессы при установке программы. Инструмент задействует PowerShell-скрипт M3_Mini_Rat, который выступает как бэкдор, обеспечивая удаленный доступ к системе.
После активации бэкдора на компьютер жертвы устанавливаются криптовалютные майнеры PhoenixMiner и lolMiner. PhoenixMiner занимается добычей
Источник: SecurityLab