🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma operação com motivação financeira codinome REF1695 foi observada aproveitando instaladores falsos para implantar trojans de acesso remoto (RATs) e mineradores de criptomoedas desde novembro de 2023.
"Além da criptomineração, o agente da ameaça monetiza infecções por meio de fraude de CPA (custo por ação), direcionando as vítimas para páginas de bloqueio de conteúdo sob o pretexto de registro de software", disseram os pesquisadores do Elastic Security Labs Jia Yu Chan, Cyril François e Remco Sprooten em uma análise publicada esta semana.
Também foram encontradas iterações recentes da campanha que entregam um implante .NET anteriormente não documentado, com o codinome CNB Bot. Esses ataques utilizam um arquivo ISO como vetor de infecção para fornecer um carregador protegido pelo .NET Reactor e um arquivo de texto com instruções explícitas para o usuário ignorar as proteções do Microsoft Defender SmartScreen contra a execução de aplicativos não reconhecidos clicando em "Mais informações" e "Executar mesmo assim".
O carregador foi projetado para invocar o PowerShell, que é responsável por configurar amplas exclusões do Microsoft Defender Antivirus para passar despercebido e iniciar o CNB Bot em segundo plano. Ao mesmo tempo, o usuário recebe uma mensagem de erro: "Não é possível iniciar o aplicativo. Seu sistema pode não atender às especificações exigidas. Entre em contato com o suporte".
O CNB Bot funciona como um carregador com recursos para baixar e executar cargas adicionais, atualizar-se, desinstalar e executar ações de limpeza para encobrir os rastros. Ele se comunica com um servidor de comando e controle (C2) usando solicitações HTTP POST.
Outras campanhas montadas pelo agente da ameaça aproveitaram iscas ISO semelhantes para implantar PureRAT, PureMiner e um carregador XMRig personalizado baseado em .NET, o último dos quais alcança um URL codificado para extrair a configuração de mineração e iniciar a carga útil do minerador.
Conforme observado recentemente na campanha FAUX#ELEVATE, "WinRing0x64.sys", um driver de kernel do Windows legítimo, assinado e vulnerável, é usado de forma abusiva para obter acesso ao hardware no nível do kernel e modificar as configurações da CPU para aumentar as taxas de hash, permitindo assim a melhoria do desempenho. O uso do driver tem sido observado em muitas campanhas de cryptojacking ao longo dos anos. A funcionalidade foi adicionada aos mineradores XMRig em dezembro de 2019.
A Elastic disse que também identificou outra campanha que leva à implantação do SilentCryptoMiner. O minerador, além de usar chamadas diretas do sistema para evitar a detecção, toma medidas para desativar os modos de suspensão e hibernação do Windows, configura a persistência por meio de uma tarefa agendada e usa o driver "Winring0.sys" para ajustar a CPU para operações de mineração.
Outro componente notável do ataque é um processo de vigilância que garante que os artefatos maliciosos e os mecanismos de persistência sejam restaurados caso sejam excluídos. Estima-se que a campanha tenha acumulado 27,88 XMR (US$ 9.392) em quatro carteiras rastreadas, indicando que a operação está gerando retornos financeiros consistentes para o invasor.
“Além da infraestrutura C2, o agente da ameaça abusa do GitHub como um CDN de entrega de carga útil, hospedando binários testados em duas contas identificadas”, disse Elastic. “Essa técnica muda a etapa de download e execução da infraestrutura controlada pelo operador para uma plataforma confiável, reduzindo o atrito de detecção.”
"Além da criptomineração, o agente da ameaça monetiza infecções por meio de fraude de CPA (custo por ação), direcionando as vítimas para páginas de bloqueio de conteúdo sob o pretexto de registro de software", disseram os pesquisadores do Elastic Security Labs Jia Yu Chan, Cyril François e Remco Sprooten em uma análise publicada esta semana.
Também foram encontradas iterações recentes da campanha que entregam um implante .NET anteriormente não documentado, com o codinome CNB Bot. Esses ataques utilizam um arquivo ISO como vetor de infecção para fornecer um carregador protegido pelo .NET Reactor e um arquivo de texto com instruções explícitas para o usuário ignorar as proteções do Microsoft Defender SmartScreen contra a execução de aplicativos não reconhecidos clicando em "Mais informações" e "Executar mesmo assim".
O carregador foi projetado para invocar o PowerShell, que é responsável por configurar amplas exclusões do Microsoft Defender Antivirus para passar despercebido e iniciar o CNB Bot em segundo plano. Ao mesmo tempo, o usuário recebe uma mensagem de erro: "Não é possível iniciar o aplicativo. Seu sistema pode não atender às especificações exigidas. Entre em contato com o suporte".
O CNB Bot funciona como um carregador com recursos para baixar e executar cargas adicionais, atualizar-se, desinstalar e executar ações de limpeza para encobrir os rastros. Ele se comunica com um servidor de comando e controle (C2) usando solicitações HTTP POST.
Outras campanhas montadas pelo agente da ameaça aproveitaram iscas ISO semelhantes para implantar PureRAT, PureMiner e um carregador XMRig personalizado baseado em .NET, o último dos quais alcança um URL codificado para extrair a configuração de mineração e iniciar a carga útil do minerador.
Conforme observado recentemente na campanha FAUX#ELEVATE, "WinRing0x64.sys", um driver de kernel do Windows legítimo, assinado e vulnerável, é usado de forma abusiva para obter acesso ao hardware no nível do kernel e modificar as configurações da CPU para aumentar as taxas de hash, permitindo assim a melhoria do desempenho. O uso do driver tem sido observado em muitas campanhas de cryptojacking ao longo dos anos. A funcionalidade foi adicionada aos mineradores XMRig em dezembro de 2019.
A Elastic disse que também identificou outra campanha que leva à implantação do SilentCryptoMiner. O minerador, além de usar chamadas diretas do sistema para evitar a detecção, toma medidas para desativar os modos de suspensão e hibernação do Windows, configura a persistência por meio de uma tarefa agendada e usa o driver "Winring0.sys" para ajustar a CPU para operações de mineração.
Outro componente notável do ataque é um processo de vigilância que garante que os artefatos maliciosos e os mecanismos de persistência sejam restaurados caso sejam excluídos. Estima-se que a campanha tenha acumulado 27,88 XMR (US$ 9.392) em quatro carteiras rastreadas, indicando que a operação está gerando retornos financeiros consistentes para o invasor.
“Além da infraestrutura C2, o agente da ameaça abusa do GitHub como um CDN de entrega de carga útil, hospedando binários testados em duas contas identificadas”, disse Elastic. “Essa técnica muda a etapa de download e execução da infraestrutura controlada pelo operador para uma plataforma confiável, reduzindo o atrito de detecção.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pesquisadores #descobrem #operação #de #mineração #usando #iscas #iso #para #espalhar #rats #e #criptomineradores
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário