Pesquisadores identificam uso de ISOs para disseminar RATs e mineradores de criptomoedas

Tipo principal do conteúdo: Cibersegurança

Uma operação cibercriminosa identificada como REF1695 tem utilizado instaladores falsos para disseminar trojans de acesso remoto (RATs) e mineradores de criptomoedas desde novembro de 2023. Os ataques exploram arquivos ISO como vetor de infecção, instruindo os usuários a contornar proteções do Microsoft Defender e executar um carregador protegido, que inicia um implante .NET denominado CNB Bot. Esse componente é responsável por baixar e executar cargas adicionais, atualizar-se automaticamente e realizar ações de limpeza para dificultar a detecção.

O método adotado inclui a execução de comandos PowerShell para configurar exclusões amplas no antivírus, permitindo que o CNB Bot opere sem ser identificado. Além disso, campanhas relacionadas utilizam drivers legítimos, porém vulneráveis, como o WinRing0x64.sys, para obter acesso ao núcleo do sistema operacional e ajustar configurações de CPU, otimizando o desempenho da mineração de criptomoedas. Essa técnica, já observada em outras campanhas de cryptojacking, permite elevar significativamente as taxas de hash e, consequentemente, os lucros dos invasores.

Outro aspecto técnico relevante é o uso de processos de watchdog, que restauram artefatos maliciosos e mecanismos de persistência caso sejam removidos, garantindo a continuidade da operação. Os criminosos também empregam o GitHub como CDN para distribuição de binários, dificultando a detecção por utilizar uma plataforma confiável como intermediária. A campanha já demonstrou retorno financeiro consistente, evidenciando a eficácia dos métodos empregados e o risco operacional para sistemas comprometidos.