Una operación con motivación financiera cuyo nombre en código REF1695 Se ha observado que desde noviembre de 2023 se aprovechan instaladores falsos para implementar troyanos de comunicación remoto (RAT) y mineros de criptomonedas.
“Más allá de la criptominería, el actor de amenazas monetiza las infecciones a través del fraude CPA (costo por bono), dirigiendo a las víctimas a páginas de contenido bajo la apariencia de registro de software”, dijeron los investigadores de Elastic Security Labs Jia Yu Chan, Cyril François y Remco Sprooten en un exploración publicado esta semana.
Además se ha descubierto que iteraciones recientes de la campaña entregan un implante .NET previamente no documentado con nombre en código CNB Bot. Estos ataques aprovechan un archivo ISO como vector de infección para entregar un cargador protegido por .NET Reactor y un archivo de texto con instrucciones explícitas para que el usufructuario evite las protecciones de Microsoft Defender SmartScreen contra la ejecución de aplicaciones no reconocidas haciendo clic en “Más información” y “Ejecutar de todos modos”.
El cargador está diseñado para invocar PowerShell, que es responsable de configurar amplias exclusiones de Microsoft Defender Antivirus para ocurrir desapercibido e iniciar CNB Bot en segundo plano. Al mismo tiempo, al usufructuario se le muestra un mensaje de error: “No se puede iniciar la aplicación. Es posible que su sistema no cumpla con las especificaciones requeridas. Comuníquese con el soporte”.
CNB Bot funciona como un cargador con capacidades para descargar y ejecutar cargas avíos adicionales, actualizarse, desinstalar y realizar acciones de higienización para cubrir las pistas. Se comunica con un servidor de comando y control (C2) mediante solicitudes HTTP POST.
Otras campañas montadas por el actor de amenazas han trabajador señuelos ISO similares para implementar PureRAT, PureMiner y un cargador XMRig personalizado basado en .NET, el postrero de los cuales llega a una URL codificada para extraer la configuración de minería y editar la carga útil del minero.
Como se observó recientemente en la campaña FAUX#ELEVATE, se abusa de “WinRing0x64.sys”, un regulador de kernel de Windows genuino, firmado y débil, para obtener comunicación al hardware a nivel de kernel y modificar la configuración de la CPU para aumentar las tasas de hash, permitiendo así mejorar el rendimiento. El uso del regulador se ha observado en muchas campañas de criptojacking a lo derrochador de los primaveras. La funcionalidad se agregó a los mineros XMRig en diciembre de 2019.
Elastic dijo que además identificó otra campaña que conduce al despliegue de SilentCryptoMiner. El minero, encima de utilizar llamadas directas al sistema para esquivar la detección, toma medidas para desactivar los modos de suspensión e hibernación de Windows, configura la persistencia mediante una tarea programada y utiliza el regulador “Winring0.sys” para ajustar la CPU para las operaciones de minería.
Otro componente trascendente del ataque es un proceso de vigilancia que garantiza que los artefactos maliciosos y los mecanismos de persistencia se restablezcan en caso de que se eliminen. Se estima que la campaña acumuló 27,88 XMR (9.392 dólares) en cuatro carteras rastreadas, lo que indica que la operación está generando beneficios financieros constantes para el atacante.
“Más allá de la infraestructura C2, el actor de amenazas abusa de GitHub como una CDN de entrega de carga útil, alojando binarios preparados en dos cuentas identificadas”, dijo Elastic. “Esta técnica desplaza el paso de descarga y ejecución de la infraestructura controlada por el cirujano a una plataforma confiable, lo que reduce la fricción en la detección”.
