Tanımlanamayan bir tehdit aktörünün, nihai amacı kripto para birimi madencilerini güvenliği ihlal edilmiş sistemlere yerleştirmek ve potansiyel olarak Discord belirteçlerinin çalınmasını kolaylaştırmak olan “karmaşık ve güçlü” bir kötü amaçlı yazılım yükleyicisi kullandığı gözlemlendi.
Broadcom Software’in bir parçası olan Symantec Threat Hunter Team’den araştırmacılar, “Kurban ağlarında bulunan kanıtlar, saldırganın amacının kurban makinelere kripto para madenciliği yazılımı yüklemek olduğunu gösteriyor” dedi. dedim The Hacker News ile paylaşılan bir raporda.
“Bu karmaşık kötü amaçlı yazılımı geliştirmek için gereken çaba düzeyi göz önüne alındığında, saldırgan için bu nispeten düşük ödüllü bir hedef gibi görünüyor.”
Verblecon olarak adlandırılan bu gelişmiş kötü amaçlı yazılımın ilk olarak iki ay önce Ocak 2022’de tespit edildiği söyleniyor. polimorfik nitelikler güvenlik yazılımı tarafından imza tabanlı algılamalardan kaçınmak için.
Ek olarak, yükleyici, kendisini makineye kopyalamaya devam etmeden ve bir şifreli blobu almak için uzak bir sunucuya bağlanmadan önce, şu anda hata ayıklanıp ayıklanmadığını veya sanal veya korumalı alanda açılıp açılmadığını belirlemek için ek analiz önleme kontrolleri gerçekleştirir. Daha sonra madenci yüklerini almak için kullanılan URL.
Araştırmacılar, “Bu karmaşık yükleyici kullanılarak gerçekleştirilen aktivite, kullandıkları kötü amaçlı yazılımın yeteneklerini fark etmeyebilecek bir kişi tarafından kullanıldığını gösteriyor” dedi.
“Ancak, daha sofistike bir aktörün eline geçerse, bu yükleyicinin potansiyel olarak fidye yazılımı ve casusluk kampanyaları dahil olmak üzere daha ciddi saldırılar için kullanılma potansiyeli var.”