Ein nicht identifizierter Bedrohungsakteur wurde dabei beobachtet, wie er einen „komplexen und leistungsstarken“ Malware-Loader einsetzt, um Kryptowährungs-Miner auf kompromittierten Systemen zu installieren und möglicherweise den Diebstahl von Discord-Tokens zu erleichtern.
„Die Beweise, die in den Netzwerken der Opfer gefunden wurden, deuten darauf hin, dass das Ziel des Angreifers darin bestand, Software zum Schürfen von Kryptowährungen auf den Rechnern der Opfer zu installieren“, so die Forscher des Symantec Threat Hunter Teams, das zu Broadcom Software gehört, in einem Bericht, der The Hacker News vorliegt.
„Angesichts des Aufwands, der für die Entwicklung dieser ausgeklügelten Malware nötig gewesen wäre, scheint dies ein relativ lohnendes Ziel für den Angreifer zu sein.
Die ausgeklügelte Malware mit dem Namen Verblecon soll erstmals im Januar 2021 entdeckt worden sein. Die Nutzlast enthält polymorphe Eigenschaften, um signaturbasierte Erkennungen durch Sicherheitssoftware zu umgehen.
Außerdem führt der Loader weitere Anti-Analyse-Prüfungen durch, um festzustellen, ob er gerade debuggt oder in einer virtuellen oder Sandbox-Umgebung geöffnet wird, bevor er sich in den Rechner kopiert und eine Verbindung zu einem entfernten Server herstellt, um einen verschlüsselten Blob mit einer URL abzurufen, die dann zum Abrufen von Miner-Payloads verwendet wird.
„Die Aktivitäten, die wir mit diesem ausgeklügelten Loader gesehen haben, deuten darauf hin, dass er von einer Person eingesetzt wird, die sich der Fähigkeiten der Malware, die sie benutzt, nicht bewusst ist“, erklärten die Forscher.
„Wenn er jedoch in die Hände eines raffinierteren Akteurs fällt, besteht die Möglichkeit, dass dieser Loader für schwerwiegendere Angriffe, einschließlich Ransomware und Spionagekampagnen, verwendet wird.