Valse software-updates worden door bedreigingsactoren gebruikt om een nieuwe stealer-malware te leveren, genaamd MuntLurker.
“CoinLurker, geschreven in Go, maakt gebruik van geavanceerde verduisterings- en anti-analysetechnieken, waardoor het een zeer effectief hulpmiddel is bij moderne cyberaanvallen”, zei Morphisec-onderzoeker Nadav Lorber in een technisch rapport dat maandag werd gepubliceerd.
De aanvallen maken gebruik van valse updatewaarschuwingen die verschillende misleidende toegangspunten gebruiken, zoals meldingen van software-updates op gecompromitteerde WordPress-sites, malvertising-omleidingen, phishing-e-mails die linken naar vervalste updatepagina’s, valse CAPTCHA-verificatieprompts, directe downloads van nep- of geïnfecteerde sites, en links gedeeld via sociale media en berichtenapps.
Ongeacht de methode die wordt gebruikt om de infectieketen te activeren, maken de software-updateprompts gebruik van Microsoft Edge Webview2 om de uitvoering van de payload te activeren.
“De afhankelijkheid van Webview2 van vooraf geïnstalleerde componenten en gebruikersinteractie bemoeilijkt dynamische en sandbox-analyses”, aldus Lorber. “Sandboxen missen vaak Webview2 of slagen er niet in gebruikersacties te repliceren, waardoor de malware automatische detectie kan omzeilen.”
Een van de geavanceerde tactieken die in deze campagnes worden toegepast, betreft het gebruik van een techniek genaamd EtherHiding, waarbij de gecompromitteerde sites worden geïnjecteerd met scripts die zijn ontworpen om de Web3-infrastructuur te bereiken om de uiteindelijke lading op te halen uit een Bitbucket-repository die zich voordoet als legitieme tools (bijv. “UpdateMe.exe”, “SecurityPatch.exe”).
Deze uitvoerbare bestanden zijn op hun beurt ondertekend met een legitiem, maar gestolen Extended Validation (EV)-certificaat, waardoor een nieuwe laag van misleiding aan het plan wordt toegevoegd en de veiligheidsbarrières worden omzeild. In de laatste stap wordt de “meerlaagse injector” gebruikt om de payload in het Microsoft Edge-proces (“msedge.exe”) te implementeren.
CoinLurker maakt ook gebruik van een slim ontwerp om zijn acties te verbergen en de analyse te compliceren, inclusief zware verduistering om te controleren of de machine al is gecompromitteerd, het decoderen van de payload direct in het geheugen tijdens runtime, en het nemen van stappen om het programma-uitvoeringspad te verdoezelen met behulp van voorwaardelijke controles, redundante bronnen opdrachten en iteratieve geheugenmanipulaties.
“Deze aanpak zorgt ervoor dat de malware detectie omzeilt, naadloos opgaat in legitieme systeemactiviteiten en netwerkbeveiligingsregels omzeilt die afhankelijk zijn van procesgedrag voor filtering”, aldus Morphisec.
Eenmaal gelanceerd, initieert CoinLurker de communicatie met een externe server met behulp van een socket-gebaseerde aanpak en gaat vervolgens verder met het verzamelen van gegevens uit specifieke mappen die verband houden met cryptocurrency-wallets (namelijk Bitcoin, Ethereum, Ledger Live en Exodus), Telegram, Discord en FileZilla.
“Deze uitgebreide scan onderstreept het primaire doel van CoinLurker: het verzamelen van waardevolle cryptocurrency-gerelateerde gegevens en gebruikersreferenties”, aldus Lorber. “Het feit dat het zich richt op zowel reguliere als obscure portemonnees demonstreert zijn veelzijdigheid en aanpassingsvermogen, waardoor het een aanzienlijke bedreiging vormt voor gebruikers in het cryptocurrency-ecosysteem.”
Deze ontwikkeling vindt plaats op het moment dat is waargenomen dat één enkele bedreigingsacteur sinds minstens 13 november 2024 maar liefst tien malvertisingcampagnes orkestreert die Google-zoekadvertenties misbruiken om grafische ontwerpprofessionals te onderscheiden, met behulp van kunstaas gerelateerd aan FreeCAD, Rhinoceros 3D, Planner 5D en Onvorm.
“Domeinen worden dag na dag, week na week gelanceerd, sinds minstens 13 november 2024, voor malvertisingcampagnes die worden gehost op twee speciale IP-adressen: 185.11.61(.)243 en 185.147.124(.)110”, Silent Push gezegd. “Sites die afkomstig zijn uit deze twee IP-reeksen worden gelanceerd in advertentiecampagnes op Google Zoeken en leiden allemaal tot een verscheidenheid aan kwaadaardige downloads.”
Het volgt ook op de opkomst van een nieuwe malwarefamilie genaamd I2PRAT, die het I2P peer-to-peer-netwerk misbruikt voor gecodeerde communicatie met een command-and-control (C2)-server. Het is vermeldenswaard dat I2PRAT ook wordt gevolgd door Cofense onder de naam I2Parcae RAT.
Het startpunt van de aanval is een phishing-e-mail met een link die, wanneer erop wordt geklikt, de ontvanger van het bericht naar een valse CAPTCHA-verificatiepagina leidt, die de ClickFix-techniek gebruikt om gebruikers te misleiden zodat ze een Base64-gecodeerde PowerShell-opdracht kopiëren en uitvoeren die verantwoordelijk is voor het starten een downloader, die vervolgens de RAT implementeert nadat deze via een TCP-socket is opgehaald van de C2-server.