Cryptomining

Desde novembro de 2023, uma operação de cibersegurança chamada REF1695 tem explorado instaladores falsos para implantar trojans de acesso remoto (RATs) e mineradores de criptomoedas. Os pesquisadores da Elastic Security Labs identificaram que, além do cryptomining, os atacantes monetizam as infecções através de fraudes CPA (Custo Por Ação), redirecionando as vítimas para páginas de bloqueio de conteúdo sob a aparência de registro de software. As versões mais recentes da campanha também entregaram um implante .NET inédito, denominado CNB Bot, que utiliza um arquivo ISO como vetor de infecção. Este loader invoca o PowerShell para configurar exclusões amplas no Microsoft Defender, permitindo que o CNB Bot opere em segundo plano, enquanto o usuário é enganado por uma mensagem de erro. O CNB Bot é capaz de baixar e executar cargas adicionais, atualizar-se e realizar ações de limpeza para ocultar suas atividades. A operação já acumulou 27,88 XMR (aproximadamente R$ 9.392) em quatro carteiras rastreadas, evidenciando o retorno financeiro consistente para os atacantes. Além disso, a infraestrutura de comando e controle (C2) dos atacantes abusa do GitHub como uma rede de entrega de conteúdo, hospedando binários em contas confiáveis, o que dificulta a detecção.