Pesquisadores da **Elastic Security Labs** descobriram detalhes sobre a **REF1695**, uma campanha que utiliza instaladores falsos para distribuir malware. De acordo com Jia Yu Chan, Cyril François e Remco Sprooten, o grupo monetiza as infecções através de fraude CPA (Custo Por Ação), direcionando vítimas para páginas de bloqueio de conteúdo sob o pretexto de registro de software. ### CNB Bot: Um Novo Implant .NET Iterações recentes da campanha **REF1695** envolvem a entrega de um novo implant .NET chamado **CNB Bot**. A cadeia de ataque começa com um arquivo ISO contendo um loader protegido por **.NET Reactor** e um arquivo de texto. O arquivo de texto instrui o usuário a contornar o **Microsoft Defender SmartScreen** clicando em "Mais informações" e "Executar mesmo assim". O loader executa um script **PowerShell** que configura exclusões amplas para o **Microsoft Defender Antivirus**. Isso permite que o **CNB Bot** seja executado em segundo plano enquanto exibe uma mensagem de erro falsa para o usuário. O **CNB Bot** atua como um loader, baixando e executando payloads adicionais, atualizando-se e realizando limpeza para remover rastros da infecção. Ele se comunica com seu servidor de comando e controle (C2) usando requisições HTTP POST. ### RATs, Mineradores e Exploração de Kernel Outras campanhas ligadas a este ator de ameaça usaram iscas ISO semelhantes para distribuir **PureRAT**, **PureMiner** e um loader customizado baseado em .NET para **XMRig**. O loader **XMRig** busca configurações de mineração de uma URL codificada e executa o payload do minerador. Assim como a campanha **FAUX#ELEVATE**, a **REF1695** abusa do "WinRing0x64.sys", um driver de kernel legítimo, porém vulnerável, do Windows, para obter acesso de hardware em nível de kernel. Isso permite que os atacantes modifiquem configurações da CPU para aumentar as taxas de hash e melhorar o desempenho da mineração. O uso deste driver foi observado em muitas campanhas de cryptojacking e foi integrado aos mineradores **XMRig** em dezembro de 2019. ### SilentCryptoMiner e Mecanismos de Persistência A **Elastic** também identificou campanhas distribuindo o **SilentCryptoMiner**. Este minerador usa chamadas de sistema diretas para evadir detecção e desabilita os modos de Suspensão e Hibernação do Windows. Ele estabelece persistência através de uma tarefa agendada e utiliza o driver "Winring0.sys" para otimizar as configurações da CPU para mineração. Os atacantes empregam um processo de "vigia" (watchdog) para garantir que artefatos maliciosos e mecanismos de persistência sejam restaurados caso sejam excluídos. A campanha acumulou supostamente 27.88 XMR (aproximadamente $9.392) em quatro carteiras rastreadas. ### Abuso do GitHub para Entrega de Payload Os atores de ameaça também estão abusando do **GitHub** como uma CDN para entrega de payloads, hospedando binários em múltiplas contas. Essa técnica transfere a etapa de download e execução para uma plataforma confiável, reduzindo o atrito na detecção.