REF1695として知られる金銭的動機を持つ脅威アクターは、2023年後半から長期的なマルウェアキャンペーンを実行しており、偽のソフトウェアインストーラーを使用してリモートアクセストロイの木馬とMoneroマイナーを配布しています。
この作戦は高度な回避技術とソーシャルエンジニアリングを活用してシステムに感染し、複数の収入源を静かに生み出しています。
脅威アクターは主にISOイメージファイルを通じてマルウェアを配布しており、これらは偽のソフトウェアインストーラーパッケージとして機能します。
被害者がISOを開くと、通常は単一段階のローダーとソーシャルエンジニアリングの誘い文句が記載されたテキストファイルが見つかります。
テキストファイルは、ソフトウェアは資金不足の非営利チームによって作成されたため、コード署名証明書の費用を賄えないと主張することで、ユーザーにMicrosoft Defender SmartScreenの警告をバイパスするよう仕向けます。
ユーザーがローダーを実行すると、Microsoft Defenderで広い除外設定を登録して、マルウェアの検出を防ぎます。
キャンペーン運営者は、すべてのビルドにおいてThemida、WinLicense、.NET Reactorのパッキング技術の組み合わせを一貫して使用し、悪意あるコードを大きく難読化しています。
感染が進むにつれて、初期ローダーは特定のキャンペーンバージョンに応じて追加ペイロードをドロップします。
REF1695の作戦は、サイレント暗号資産マイニングと不正なアフィリエイトマーケティングの組み合わせを通じて継続的な財務利益を生み出すことに大きく焦点を当てています。
マイニングの収益性を最大化するため、マルウェアは正規だが脆弱なドライバーであるWinRing0x64.sysをインストールし、マイナーにプロセッサへのダイレクトハードウェアアクセスを付与してMoneroマイニング用にプロセッサを最適化します。
マルウェアはまたWindowsのスリープと休止状態をオフにし、侵害されたマシンが常に起動したままマイニングを24時間行うようにします。
これらのウォレットは合計27 Monero以上のペイアウトを受け取っており、低速で静かな暗号資産マイニング作戦が時間をかけて一貫した大きな財務利益をもたらす可能性があることを示しています。
暗号資産マイニング以外に、運営者はコスト・パー・アクション詐欺を通じて感染を収益化しています。インストール中、マルウェアは偽のエラーダイアログまたは登録プロンプトをユーザーに表示します。
これらのインターフェースは、必要なソフトウェア登録キーのロック解除という名目で、被害者を外部コンテンツロッカーウェブサイトに誘導します。
偽キーelasticにアクセスするため、被害者はアンケートを完了するか第三者サービスに登録することを強制され、成功するたびに脅威アクターにアフィリエイト手数料を生み出します。
この二重の収益化戦略により、攻撃者は不正なアンケートから即座に利益を得ながら、感染したデバイスに隠されている継続的なマイニングペイロードとリモートアクセストロイの木馬から長期的な受動的収入を確保できます。
翻訳元: https://cyberpress.org/fake-installers-drop-malware/