Se ha observado que el infame grupo minero de criptomonedas llamado 8220 Gang usa un nuevo encriptador llamado ScrubCrypt para llevar a cabo operaciones de criptojacking.
Según Fortinet FortiGuard Labs, la cadena de ataque comienza con la explotación exitosa de servidores Oracle WebLogic susceptibles para descargar un script de PowerShell que contiene ScrubCrypt.
Los encriptadores son un tipo de software que puede encriptar, ofuscar y manipular malware con el objetivo de evadir la detección por parte de los programas de seguridad.
ScrubCrypt, que su autor anuncia a la venta, viene con características para eludir las protecciones de Windows Defender, así como para verificar la presencia de entornos de máquinas virtuales y de depuración.
«ScrubCrypt es un encriptador que se utiliza para proteger las aplicaciones con un método de empaquetado BAT único», dijo la investigadora de seguridad Cara Lin. dicho en un informe técnico. «Los datos cifrados en la parte superior se pueden dividir en cuatro partes usando la barra invertida »».
El encriptador, en la etapa final, decodifica y carga la carga útil del minero en la memoria, iniciando así el proceso del minero.
El actor de amenazas tiene un historial de aprovechar las vulnerabilidades divulgadas públicamente para infiltrarse en los objetivos, y los últimos hallazgos no son diferentes.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
El desarrollo también viene como Sydig detallado ataques montados por 8220 Gang entre noviembre de 2022 y enero de 2023 que tienen como objetivo violar los servidores web vulnerables Oracle WebLogic y Apache para eliminar el minero XMRig.
A fines de enero de 2023, Fortinet también descubrió ataques de criptojacking que hacen uso de documentos de Microsoft Excel que contienen macros VBA maliciosas que están configuradas para descargar un ejecutable para minar Monero (XMR) en sistemas infectados.