Microsoft Threat Intelligence har afsløret en yderst sofistikeret kryptokapringskampagne, der målretter pc-gamere og hardwareentusiaster. Operationen bruger skjulte teknikker til i al hemmelighed at kapre systemressourcer til minedrift af kryptovaluta – lige under næsen af brugerne. Det er det seneste tegn på, at angribere i stigende grad fokuserer på kraftfuld forbrugerhardware i stedet for datacentre.
Hvad Microsoft fandt
Kampagnen er bemærkelsesværdig for sin høje grad af polering. Malwaren undgår opdagelse ved at efterligne legitime processer og dæmpe sin egen aktivitet, når maskinen er i aktiv brug. Microsofts team siger, at den er designet specifikt til at udnytte de avancerede GPU'er og CPU'er, der findes i gaming-rigs og entusiast-byggede maskiner. Angriberne synes at have lagt et reelt stykke arbejde i at undgå almindelige antivirussignaturer og værktøjer til adfærdsovervågning.
Virksomheden har ikke navngivet malwarefamilien eller delt en teknisk gennemgang endnu. Men den indledende offentliggørelse – en enkelt linje i en trusselsanalyse – tyder på, at Microsoft anser dette for at være en tilstrækkelig alvorlig operation til at markere den offentligt. Tidspunktet er ikke ideelt for gamere, der allerede kæmper med hardwaremangel og høje komponentpriser.
Hvem er i sigtekornet
Pc-gamere og hardwareentusiaster er de primære mål. Det giver mening: En moderne gaming-pc kan trække lige så meget strøm og regnekraft som en lille minefarm. Angriberne vil have den hashrate uden at betale for strøm eller køling. Kampagnen ser ud til at sprede sig via knækkede spil, modificerede installere og torrent-software – den slags downloads, som gamere nogle gange henter uden for de officielle butikker.
Microsoft har ikke oplyst, hvor mange maskiner der er inficeret, eller hvilke regioner der er hårdest ramt. Men målretningen er præcis. Dette er ikke en spray-and-pray-kryptokaprer, der rammer tilfældige hjemmesider. Det er en fokuseret operation rettet mod folk med den hardware, der gør minedrift rentabel.
Det bredere trusselsbillede
Kryptokapring har eksisteret i årevis, men er blevet mere avanceret. Tidlige versioner var tydelige – de satte CPU-brugen til 100% og fik straks blæserne til at køre. Moderne kampagner som denne er mere stille. De går i dvale, når du spiller, og går derefter i gang, når du går væk. Nogle tjekker endda for aktiv mus- og tastaturinput for at forblive skjulte.
Microsofts opdagelse viser, at trusselsaktører stadig ser kryptokapring som en pålidelig indtægtskilde. Med volatile kryptopriser og stigende minedriftssværhedsgrad er det billigere at stjæle andres regnekraft end at købe sin egen hardware. Kampagnen fremhæver også et hul: Forbrugernes antivirusværktøjer overser ofte velskrevet kryptokapringsmalware, fordi den ikke opfører sig som ransomware eller en trojaner.
Microsoft har endnu ikke oplyst, om kampagnen er blevet forstyrret, eller om specifikke indikatorer for kompromittering er blevet offentliggjort. Gamere og entusiaster bør være forsigtige med, hvor de downloader software – og måske tjekke deres Opgavestyring oftere.
