I fornitori di servizi internet (ISP) in Cina e sulla costa occidentale degli Stati Uniti sono stati presi di mira da una campagna di sfruttamento di massa che ha distribuito ladri di informazioni e minatori di criptovaluta su host compromessi. Questa attività è stata analizzata dal Splunk Threat Research Team, che ha evidenziato come siano stati utilizzati vari binari per facilitare l’esfiltrazione dei dati e stabilire la persistenza sui sistemi.
Gli attacchi sono stati condotti da attori di minacce non identificati, che hanno eseguito operazioni invasive minime per evitare il rilevamento, ad eccezione degli artefatti creati da account già compromessi. Questi attacchi hanno sfruttato attacchi di forza bruta utilizzando credenziali deboli, provenienti da indirizzi IP associati all’Europa orientale. Sono stati presi di mira specificamente oltre 4.000 indirizzi IP di fornitori di ISP.
Dopo aver ottenuto l’accesso iniziale agli ambienti di destinazione, gli attacchi hanno utilizzato PowerShell per distribuire diversi eseguibili, condurre la scansione di rete, rubare informazioni e sfruttare le risorse computazionali della vittima per l’estrazione di criptovaluta XMRig. Prima dell’esecuzione del carico utile, è stata eseguita una fase preparatoria che prevedeva la disattivazione delle funzionalità di sicurezza e la chiusura dei servizi associati al rilevamento di criptominer.
Il malware ladro, oltre a catturare screenshot, funge da malware clipper progettato per rubare contenuti di clipboard, cercando indirizzi di portafogli per criptovalute come Bitcoin (BTC), Ethereum (ETH), Binance Chain BEP2 (HBETEP2), Litecoin (LTC) e TRONX. Inoltre, nella macchina infetta è presente un binario che lancia ulteriori carichi utili, progettato per scaricare un elenco di password.
Gli attacchi hanno utilizzato script in linguaggi come Bash, Python e PowerShell, consentendo agli attori di operare in ambienti limitati e utilizzare chiamate API, come Telegram, per le operazioni di comando e controllo (C2).
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!