En ny serie koordinerade attacker har upptäckts av Cisco Talos, meddelar företaget i ett nytt blogginlägg.
Angriparna utnyttjar ett av Windows installationsverktyg för att ta sig in i företagens infrastruktur obemärkt och stjäla processorkraft.
Grafikprocessorer, GPU, är hårdvara som är specialanpassad för att snabbt utföra komplexa beräkningar. Till en början togs de fram för att möjliggöra mer spektakulär datorgrafik men idag har GPU:erna en mängd användningsområden. Ett av dessa är att utföra de typer av beräkningar som görs i samband med utvinning av kryptovaluta.
Attackerna har pågått oupptäckta sedan åtminstone november 2021 och spår av den skadliga mjukvaran har hittats hos företag i bland annat Sverige, Frankrike, Schweiz, USA och Kanada.
I rapporten från Cisco Talos, Ciscos avdelning för hotforskning och analys, beskrivs de huvudsakliga måltavlorna för attacken som företag inom exempelvis arkitektur, industridesign, tillverkningsindustri och spel- och filmindustri – branscher med höga krav på komplex databearbetning med kraftfull hårdvara i den egna infrastrukturen.
Tillvägagångssättet är att använda ett installations-script som används för att installera olika mjukvarupaket – exempelvis grafikkrävande program som Adobe Illustrator, Autodesk 3ds Max och SketchUp Pro. När scriptet aktiveras läggs också skadlig programvara in tillsammans med det riktiga programmet, vilket ger angriparna möjlighet att använda datorns beräkningskapacitet så länge den är uppkopplad mot internet.
Enligt Cisco Talos har angriparna använt den stulna datorkraften för att utvinna kryptovalutan Ethereum. Det är oklart hur mycket pengar man lyckats komma över, men under en enda dag, den 9 juli, beräknas man ha fått in motsvarande cirka 8 000 kronor med aktuell Ethereum-kurs.
Cisco Talos har ännu inte kunnat slå fast hur de skadliga scripten först hamnade i offrens datorer. Tidigare attacker har utnyttjat en taktik som kallas SEO-förgiftning, där man utnyttjar sökordsoptimering för att lura användare att ladda ner programmen från en osäker källa eftersom de hamnar högst vid en webb-sökning.