网络罪犯利用图形设计软件中的GPU

思科Talos的安全研究人员发现了一个针对平面设计师和3D建模师的方案。网络犯罪分子正在使用加密货币挖矿恶意软件劫持这些领域常用的图形处理单元(gpu)。

根据思科Talos上周发布的一份报告，该活动至少从2021年11月开始活跃。攻击者利用高级安装程序这一合法的Windows软件包工具，将加密货币挖掘恶意软件与Adobe Illustrator和Autodesk 3ds Max等合法软件捆绑在一起。

这次活动专注于图形设计和3d建模软件背后的原因是这些工具需要高GPU功率，这符合网络犯罪分子的加密货币挖掘需求。思科Talos解释说，这些威胁行为者使用高级安装程序的自定义操作功能将恶意脚本潜入软件安装过程，使他们能够部署威胁。

有效负载包括M3_Mini_Rat客户端存根，创建后门，以及像PhoenixMiner和多功能lolMiner这样的加密货币挖掘恶意软件。

Critical Start网络威胁研究高级经理Callie Guenther解释说：“加密货币挖掘，特别是在配备高端GPU的机器上，可能是有利可图的，恶意软件通常可以在后台秘密运行，只消耗一小部分可用资源。这使得恶意活动可以持续更长时间，可能会被用户忽视。”

此外，对流行软件安装程序进行特洛伊木马的方法为威胁行为者提供了一种更容易的分发方法。利用搜索引擎优化中毒等策略可以提高下载量和后续感染率。

该活动主要影响法语用户，主要在法国和瑞士。然而，美国、加拿大、阿尔及利亚、瑞典、德国、突尼斯、马达加斯加、新加坡和越南等国家都出现了孤立的感染病例。

建议平面设计师和3d建模师在安装软件时要谨慎。Tanium技术客户管理高级总监Shawn Surber评论说:“像这样长期持续的攻击是微妙的，很难发现，但会对组织产生持久的影响。”

这也是一个很好的例子，说明为什么运营和安全团队需要跨越他们的传统孤岛共同努力。一旦进入，这种类型的攻击对传统的安全工具来说几乎是不可见的。因此，重要的是，对性能监控等运营工具进行调整，以观察和警告此类异常行为。