Een voortdurende phishing-campagne richt zich op Franstalige bedrijfsomgevingen met valse cv’s die leiden tot de inzet van cryptocurrency-mijnwerkers en informatiestelers.
“De campagne maakt gebruik van sterk versluierde VBScript-bestanden, vermomd als cv-documenten, geleverd via phishing-e-mails”, zeiden Securonix-onderzoekers Shikha Sangwan, Akshay Gaikwad en Aaron Beardslee in een rapport gedeeld met The Hacker News.
“Eenmaal uitgevoerd, zet de malware een multifunctionele toolkit in die diefstal van inloggegevens, data-exfiltratie en Monero-cryptocurrency-mining combineert voor maximale inkomsten.”
De activiteit heeft de codenaam gekregen FAUX#VERHOGEN door het cyberbeveiligingsbedrijf. De campagne is opmerkelijk vanwege het misbruik van legitieme diensten en infrastructuur, zoals Dropbox voor het ensceneren van payloads, Marokkaanse WordPress-sites voor het hosten van command-and-control (C2)-configuratie, en mail(.)ru SMTP-infrastructuur voor het exfiltreren van gestolen browsergegevens en desktopbestanden.
Dit is een voorbeeld van een ‘living-off-the-land’-aanval die de lat hoger legt voor de manier waarop aanvallers verdedigingsmechanismen kunnen misleiden en zich een weg kunnen banen naar het systeem van het doelwit zonder veel aandacht te trekken.
Het initiële dropper-bestand is een Visual Basic Script (VBScript) dat bij het openen een valse Franstalige foutmelding weergeeft, waardoor de ontvangers van het bericht denken dat het bestand beschadigd is. Wat er echter achter de schermen gebeurt, is dat het zwaar versluierde script een reeks controles uitvoert om sandboxes te omzeilen en in een aanhoudende User Account Control (UAC)-lus terechtkomt die gebruikers vraagt het uit te voeren met beheerdersrechten.
Opvallend is dat van de 224.471 regels van het script slechts 266 regels daadwerkelijk uitvoerbare code bevatten. De rest van het script is gevuld met ongewenste opmerkingen met willekeurige Engelse zinnen, waardoor de grootte van het bestand wordt vergroot tot 9,7 MB.
“De malware maakt ook gebruik van een domein-join-poort met behulp van WMI (Windows Management Instrumentation), waardoor de payloads alleen op bedrijfsmachines worden afgeleverd en stand-alone thuissystemen volledig worden uitgesloten”, aldus de onderzoekers.
Zodra de dropper beheerdersrechten verkrijgt, verspilt hij geen tijd met het uitschakelen van beveiligingscontroles en het verbergen van zijn sporen door Microsoft Defender-uitsluitingspaden te configureren voor alle primaire stationsletters (van C tot I), UAC uit te schakelen via een Windows-registerwijziging en zichzelf te verwijderen.
De dropper is ook verantwoordelijk voor het ophalen van twee afzonderlijke, met een wachtwoord beveiligde 7-Zip-archieven die worden gehost op Dropbox –
- gmail2.7z, dat verschillende uitvoerbare bestanden bevat om gegevens te stelen en cryptocurrency te minen
- gmail_ma.7z, dat hulpprogramma’s bevat voor persistentie en opschoning
Een van de tools die worden gebruikt om diefstal van inloggegevens te vergemakkelijken, is een component die gebruikmaakt van het ChromElevator-project om gevoelige gegevens uit Chromium-gebaseerde browsers te extraheren door app-gebonden encryptie (ABE)-beveiligingen te omzeilen. Enkele van de andere hulpmiddelen zijn onder meer:
- mozilla.vbs, een VBScript-malware voor het stelen van Mozilla Firefox-profielen en inloggegevens
- walls.vbs, een VBScript-payload voor exfiltratie van desktopbestanden
- mservice.exe, een XMRig cryptocurrency-miner die wordt gelanceerd na het ophalen van de mining-configuratie van een gecompromitteerde Marokkaanse WordPress-site
- WinRing0x64.sys, een legitieme Windows-kerneldriver die wordt gebruikt om het volledige mining-potentieel van de CPU te ontgrendelen
- RuntimeHost.exe, een persistent Trojaans paard dat de Windows Firewall-regels wijzigt en periodiek communiceert met een C2-server
De enige browsergegevens worden geëxfiltreerd met behulp van twee afzonderlijke mail(.)ru-afzenderaccounts (“[email protected]” en “[email protected]”) die hetzelfde wachtwoord via SMTP delen naar een ander e-mailadres dat wordt beheerd door de bedreigingsacteur (“[email protected]”).
Zodra de diefstal van inloggegevens en de exfiltratie-activiteiten zijn voltooid, initieert de aanvalsketen een agressieve opruiming van alle gedropte tools in een poging de forensische voetafdruk te minimaliseren, waarbij alleen de miner- en trojan-artefacten achterblijven./p>
“De FAUX#ELEVATE-campagne demonstreert een goed georganiseerde, uit meerdere fasen bestaande aanvalsoperatie die verschillende opmerkelijke technieken combineert in één enkele infectieketen”, aldus Securonix.
“Wat deze campagne bijzonder gevaarlijk maakt voor bedrijfsbeveiligingsteams is de snelheid van uitvoering. De volledige infectieketen voltooit zich in ongeveer 25 seconden, vanaf de initiële VBS-uitvoering tot het exfiltreren van inloggegevens, en de selectieve targeting van aan domeinen gekoppelde machines, die ervoor zorgen dat elke gecompromitteerde host maximale waarde biedt door diefstal van bedrijfsgegevens en aanhoudende kaping van bronnen.”
