Investigadores de **Elastic Security Labs** han descubierto detalles sobre **REF1695**, una campaña que utiliza instaladores falsos para desplegar malware. Según Jia Yu Chan, Cyril François y Remco Sprooten, el grupo monetiza las infecciones a través de fraude CPA (Costo Por Acción), dirigiendo a las víctimas a páginas de bloqueo de contenido bajo el pretexto de registro de software. ### CNB Bot: Un Nuevo Implant .NET Las iteraciones recientes de la campaña **REF1695** implican la entrega de un nuevo implant .NET llamado **CNB Bot**. La cadena de ataque comienza con un archivo ISO que contiene un cargador protegido por .NET Reactor y un archivo de texto. El archivo de texto instruye al usuario a omitir **Microsoft Defender SmartScreen** haciendo clic en "Más información" y "Ejecutar de todos modos". El cargador ejecuta un script de **PowerShell** que configura exclusiones amplias para **Microsoft Defender Antivirus**. Esto permite que **CNB Bot** se ejecute en segundo plano mientras muestra un mensaje de error falso al usuario. **CNB Bot** actúa como un cargador, descargando y ejecutando cargas útiles adicionales, actualizándose y realizando limpieza para eliminar rastros de la infección. Se comunica con su servidor de comando y control (C2) utilizando solicitudes HTTP POST. ### RATs, Mineros y Explotación del Kernel Otras campañas vinculadas a este actor de amenazas han utilizado señuelos ISO similares para desplegar **PureRAT**, **PureMiner** y un cargador personalizado basado en .NET de **XMRig**. El cargador de **XMRig** obtiene las configuraciones de minería de una URL codificada y lanza la carga útil del minero. Al igual que la campaña **FAUX#ELEVATE**, **REF1695** abusa de "WinRing0x64.sys", un controlador de kernel de Windows legítimo pero vulnerable, para obtener acceso al hardware a nivel de kernel. Esto permite a los atacantes modificar la configuración de la CPU para aumentar las tasas de hash y mejorar el rendimiento de la minería. El uso de este controlador se ha observado en muchas campañas de cryptojacking y se integró en los mineros de **XMRig** en diciembre de 2019. ### SilentCryptoMiner y Mecanismos de Persistencia **Elastic** también identificó campañas que desplegaban **SilentCryptoMiner**. Este minero utiliza llamadas directas al sistema para evadir la detección y deshabilita los modos de suspensión e hibernación de Windows. Establece persistencia a través de una tarea programada y utiliza el controlador "Winring0.sys" para optimizar la configuración de la CPU para la minería. Los atacantes emplean un proceso de "vigilancia" para garantizar que los artefactos maliciosos y los mecanismos de persistencia se restauren si se eliminan. Según se informa, la campaña ha acumulado 27.88 XMR (aproximadamente $9,392) en cuatro billeteras rastreadas. ### Abuso de GitHub para la Entrega de Cargas Útiles Los actores de amenazas también están abusando de **GitHub** como una CDN de entrega de cargas útiles, alojando binarios en múltiples cuentas. Esta técnica traslada el paso de descarga y ejecución a una plataforma confiable, reduciendo la fricción de detección.