Er is een niet-geïdentificeerde dreigingsactor waargenomen die een “complexe en krachtige” malware-loader gebruikt met als uiteindelijk doel het inzetten van cryptocurrency-miners op gecompromitteerde systemen en mogelijk de diefstal van Discord-tokens te vergemakkelijken.
“Het bewijs gevonden op slachtoffernetwerken lijkt erop te wijzen dat het doel van de aanvaller was om cryptocurrency-miningsoftware op slachtoffermachines te installeren”, onderzoekers van het Symantec Threat Hunter Team, onderdeel van Broadcom Software, zei in een rapport gedeeld met The Hacker News.
“Dit lijkt een relatief lage beloning voor de aanvaller, gezien de inspanning die nodig zou zijn geweest om deze geavanceerde malware te ontwikkelen.”
De geavanceerde malware, Verblecon genaamd, zou voor het eerst zijn opgemerkt in januari 2021, waarbij de payload polymorfe eigenschappen om op handtekeningen gebaseerde detecties door beveiligingssoftware te omzeilen.
Daarnaast voert de loader verdere anti-analysecontroles uit om te bepalen of er momenteel foutopsporing wordt uitgevoerd of wordt geopend in een virtuele of sandbox-omgeving, voordat het zichzelf naar de machine kopieert en verbinding maakt met een externe server om een versleutelde blob op te halen die een URL, die vervolgens wordt gebruikt om mijnwerker-payloads op te halen.
“De activiteit die we hebben gezien met deze geavanceerde loader, geeft aan dat deze wordt gebruikt door een persoon die zich misschien niet realiseert wat de mogelijkheden zijn van de malware die ze gebruiken”, aldus de onderzoekers.
“Als het echter in handen zou vallen van een meer geavanceerde acteur, is het potentieel aanwezig om deze loader te gebruiken voor serieuzere aanvallen, waaronder mogelijk ransomware en spionagecampagnes.”
