Uma operação com motivação financeira, identificada pelo codinome REF1695, vem sendo observada desde novembro de 2023 usando instaladores falsos para distribuir trojans de acesso remoto, conhecidos como RATs, e miners de criptomoedas.
Além do cryptomining, o grupo também lucra com fraude de CPA, sigla para Cost Per Action, redirecionando as vítimas para páginas de content locker disfarçadas de registro de software, segundo os pesquisadores da Elastic Security Labs Jia Yu Chan, Cyril François e Remco Sprooten, em análise publicada nesta semana.
Versões mais recentes da campanha também passaram a entregar um implant .NET até então não documentado, batizado de CNB Bot.
Nesses ataques, o vetor de infecção é um arquivo ISO que distribui um loader protegido por .NET Reactor e um arquivo de texto com instruções explícitas para que o usuário contorne as proteções do Microsoft Defender SmartScreen contra aplicativos não reconhecidos, clicando em “More info” e depois em “Run anyway”.
O loader foi projetado para acionar o PowerShell, responsável por configurar amplas exclusões no Microsoft Defender Antivirus e, assim, passar despercebido enquanto executa o CNB Bot em segundo plano.
Ao mesmo tempo, o usuário vê uma mensagem de erro: “Unable to launch the application.Your system may not meet the required specifications. Please contact support.”
O CNB Bot funciona como um loader com capacidade para baixar e executar outros payloads, se atualizar e também se desinstalar, realizando ações de limpeza para ocultar rastros.
A comunicação com o servidor de comando e controle, ou C2, ocorre por meio de requisições HTTP POST.
Outras campanhas conduzidas pelo mesmo ator ameaçador também usaram ISOs semelhantes para distribuir PureRAT, PureMiner e um loader .NET personalizado para o XMRig.
Nesse último caso, o componente acessa uma URL predefinida para extrair a configuração de mineração e iniciar o miner payload.
Em uma campanha recente, observada no conjunto FAUX#ELEVATE, o grupo também abusou do WinRing0x64.sys, um driver legítimo, assinado e vulnerável do kernel do Windows, para obter acesso em nível de kernel ao hardware e alterar configurações da CPU, elevando as taxas de hash e melhorando o desempenho da mineração.
O uso desse driver já apareceu em diversas campanhas de cryptojacking ao longo dos anos.
Sua funcionalidade foi incorporada aos miners XMRig em dezembro de 2019.
A Elastic informou ainda ter identificado outra campanha que leva à instalação do SilentCryptoMiner.
Além de usar system calls diretas para evitar detecção, o miner desativa os modos Sleep e Hibernate do Windows, cria persistência por meio de uma scheduled task e usa o driver Winring0.sys para ajustar a CPU às operações de mineração.
Outro componente importante do ataque é um processo watchdog, que garante a restauração dos artefatos maliciosos e dos mecanismos de persistência caso eles sejam apagados.
A campanha teria acumulado 27,88 XMR, cerca de US$ 9.392, em quatro carteiras monitoradas, o que indica que a operação vem gerando retorno financeiro consistente para o atacante.
“Além da infraestrutura de C2, o ator ameaçador também abusa do GitHub como CDN para entrega de payloads, hospedando binários em estágio inicial em duas contas identificadas”, disse a Elastic.
“Essa técnica desloca a etapa de download e execução da infraestrutura controlada pelo operador para uma plataforma confiável, reduzindo a fricção de detecção.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...