Les chercheurs d'**Elastic Security Labs** ont découvert des détails sur **REF1695**, une campagne utilisant de faux installateurs pour déployer des malwares. Selon Jia Yu Chan, Cyril François et Remco Sprooten, le groupe monétise les infections par le biais de fraudes CPA (Coût Par Action), dirigeant les victimes vers des pages de verrouillage de contenu sous couvert d'enregistrement de logiciel. ### CNB Bot : un nouvel implant .NET Les itérations récentes de la campagne **REF1695** impliquent la livraison d'un nouvel implant .NET appelé **CNB Bot**. La chaîne d'attaque commence par un fichier ISO contenant un chargeur protégé par **.NET Reactor** et un fichier texte. Le fichier texte demande à l'utilisateur de contourner **Microsoft Defender SmartScreen** en cliquant sur « Plus d'informations » puis « Exécuter quand même ». Le chargeur exécute un script **PowerShell** qui configure des exclusions larges pour **Microsoft Defender Antivirus**. Cela permet à **CNB Bot** de se lancer en arrière-plan tout en affichant un faux message d'erreur à l'utilisateur. **CNB Bot** agit comme un chargeur, téléchargeant et exécutant d'autres payloads, se mettant à jour et effectuant un nettoyage pour supprimer les traces de l'infection. Il communique avec son serveur de commande et de contrôle (C2) en utilisant des requêtes HTTP POST. ### RAT, mineurs et exploitation du noyau D'autres campagnes liées à cet acteur de menace ont utilisé des leurres ISO similaires pour déployer **PureRAT**, **PureMiner** et un chargeur **XMRig** personnalisé basé sur .NET. Le chargeur **XMRig** récupère les configurations de minage à partir d'une URL codée en dur et lance le payload du mineur. À l'instar de la campagne **FAUX#ELEVATE**, **REF1695** abuse de "WinRing0x64.sys", un pilote de noyau Windows légitime mais vulnérable, pour obtenir un accès matériel au niveau du noyau. Cela permet aux attaquants de modifier les paramètres du CPU pour augmenter les taux de hachage et améliorer les performances de minage. L'utilisation de ce pilote a été observée dans de nombreuses campagnes de cryptojacking et a été intégrée aux mineurs **XMRig** en décembre 2019. ### SilentCryptoMiner et mécanismes de persistance **Elastic** a également identifié des campagnes déployant **SilentCryptoMiner**. Ce mineur utilise des appels système directs pour échapper à la détection et désactive les modes Veille et Hibernation de Windows. Il établit la persistance via une tâche planifiée et utilise le pilote "Winring0.sys" pour optimiser les paramètres du CPU pour le minage. Les attaquants emploient un processus de surveillance (watchdog) pour s'assurer que les artefacts malveillants et les mécanismes de persistance sont restaurés s'ils sont supprimés. La campagne aurait accumulé 27,88 XMR (environ 9 392 $) sur quatre portefeuilles suivis. ### Abus de GitHub pour la livraison de payloads Les acteurs de la menace abusent également de **GitHub** en tant que CDN de livraison de payloads, hébergeant des binaires sur plusieurs comptes. Cette technique déplace l'étape de téléchargement et d'exécution vers une plateforme de confiance, réduisant ainsi les frictions de détection.