Nouveau ScrubCrypt Crypter utilisé dans les attaques de cryptojacking ciblant Oracle WebLogic


09 mars 2023Ravie LakshmananCryptojacking / Détection de menaces,

Le tristement célèbre groupe de mineurs de crypto-monnaie appelé 8220 Gang a été observé en train d’utiliser un nouveau crypteur appelé ScrubCrypt pour effectuer des opérations de cryptojacking.

Selon Fortinet FortiGuard Labs, la chaîne d’attaque commence par une exploitation réussie des serveurs Oracle WebLogic sensibles pour télécharger un script PowerShell contenant ScrubCrypt.

Les crypteurs sont un type de logiciel qui peut crypter, masquer et manipuler les logiciels malveillants dans le but d’échapper à la détection par les programmes de sécurité.

ScrubCrypt, qui est annoncé à la vente par son auteur, est livré avec des fonctionnalités permettant de contourner les protections Windows Defender ainsi que de vérifier la présence d’environnements de débogage et de machines virtuelles.

« ScrubCrypt est un crypteur utilisé pour sécuriser les applications avec une méthode d’emballage BAT unique », a déclaré Cara Lin, chercheuse en sécurité. a dit dans un rapport technique. « Les données chiffrées en haut peuvent être divisées en quatre parties à l’aide de la barre oblique inverse ‘.' »

Crypteur ScrubCrypt

Le crypteur, dans l’étape finale, décode et charge la charge utile du mineur en mémoire, lançant ainsi le processus de mineur.

L’acteur de la menace a l’habitude de tirer parti des vulnérabilités divulguées publiquement pour infiltrer des cibles, et les dernières découvertes ne sont pas différentes.

SÉMINAIRE EN LIGNE

Découvrez les dangers cachés des applications SaaS tierces

Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la manière de minimiser les risques.

RÉSERVEZ VOTRE PLACE

Le développement vient aussi comme Sydig détaillé attaques montées par le gang 8220 entre novembre 2022 et janvier 2023 qui visent à violer les serveurs Web Oracle WebLogic et Apache vulnérables pour supprimer le mineur XMRig.

Fin janvier 2023, Fortinet a également découvert attaques de cryptojacking qui utilisent des documents Microsoft Excel contenant des macros VBA malveillantes configurées pour télécharger un exécutable pour exploiter Monero (XMR) sur des systèmes infectés.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57