Le tristement célèbre groupe de mineurs de crypto-monnaie appelé 8220 Gang a été observé en train d’utiliser un nouveau crypteur appelé ScrubCrypt pour effectuer des opérations de cryptojacking.
Selon Fortinet FortiGuard Labs, la chaîne d’attaque commence par une exploitation réussie des serveurs Oracle WebLogic sensibles pour télécharger un script PowerShell contenant ScrubCrypt.
Les crypteurs sont un type de logiciel qui peut crypter, masquer et manipuler les logiciels malveillants dans le but d’échapper à la détection par les programmes de sécurité.
ScrubCrypt, qui est annoncé à la vente par son auteur, est livré avec des fonctionnalités permettant de contourner les protections Windows Defender ainsi que de vérifier la présence d’environnements de débogage et de machines virtuelles.
« ScrubCrypt est un crypteur utilisé pour sécuriser les applications avec une méthode d’emballage BAT unique », a déclaré la chercheuse en sécurité Cara Lin dans un rapport technique. « Les données chiffrées en haut peuvent être divisées en quatre parties à l’aide de la barre oblique inverse ‘.' »
Le crypteur, dans l’étape finale, décode et charge la charge utile du mineur en mémoire, lançant ainsi le processus de mineur.
L’acteur de la menace a l’habitude de tirer parti des vulnérabilités divulguées publiquement pour infiltrer des cibles, et les dernières découvertes ne sont pas différentes.
Le développement intervient également alors que Sydig détaille les attaques montées par le gang 8220 entre novembre 2022 et janvier 2023 qui visent à violer les serveurs Web Oracle WebLogic et Apache vulnérables pour supprimer le mineur XMRig.
Fin janvier 2023, Fortinet a également découvert des attaques de cryptojacking qui utilisent des documents Microsoft Excel contenant des macros VBA malveillantes configurées pour télécharger un exécutable pour exploiter Monero (XMR) sur des systèmes infectés.