Desde o final de 2023, pesquisadores de Elastic Security Labs documentaram uma operação com motivação econômica que utiliza instaladores falsos para introduzir em equipamentos tanto troianos de acesso remoto (RAT) como mineiros de criptomoedas. Sob o nome principal REF1695, a campanha destaca-se por combinar engenharia social clássica com técnicas dedicadas a esquivar as defesas do sistema e maximizar o desempenho do minado, além de monetizar infecções por fraudes CPA que levam às vítimas a páginas de “content locker”. Para os interessados na investigação original e na análise técnica, consultar as informações gerais das equipas de segurança de Elastic em Elastic e os comunicados de sua equipe de segurança.
A cadeia de infecção que descrevem os analistas parte de um senhinho muito tradicional: um arquivo ISO que o usuário monta acreditando que contém um instalador legítimo. Dentro da ISO encontra-se um carregador protegido com .NET Reactor e um arquivo de texto com instruções explícitas para que a vítima eluda as advertências da Microsoft Defender SmartScreen. Essas indicações pedem que o usuário clique em “Mais informação” e depois em “Ejecutar de qualquer maneira”, o que consegue que a aplicação não reconhecida seja executada. A documentação oficial da Microsoft sobre SmartScreen explica por que estas protecções aparecem e quais riscos levam a ignorá-las; convém rever isso em Microsoft Defender SmartScreen.
O carregador, projetado para invocar PowerShell, realiza duas ações críticas: estabelece exclusões amplas na Microsoft Defender Antivirus para que as amostras não sejam detectadas e arranca em segundo plano um implante .NET recentemente observado e batizado pelos pesquisadores como CNB Bot. Os usuários mostram um ecrã de erro que pretende justificar a falha: uma mensagem que sugere que o sistema “não cumpre as especificações” e dirige a contato suporte, conseguindo que a vítima não suspeite da atividade em segundo plano.
CNB Bot atua como um carregador modular: você pode baixar e executar cargas adicionais, atualizar-se a si mesmo e também desinstalar e remover rastros para dificultar a análise. Sua comunicação com o servidor de comando e controle (C2) é realizada mediante pedidos HTTP POST, um método simples, mas efetivo para trocar instruções e binários em campanhas em grande escala.
Além do CNB Bot, Elastic documenta variantes do mesmo señuelo ISO que serviram para implantar famílias de malware como PureRAT e PureMiner, e um carregador baseado em .NET para XMRig que consulta um URL fixo para obter sua configuração de minado. Um aspecto particularmente preocupante destas campanhas é o abuso de drivers de kernel legítimos e assinados, em particular variantes como WinRing0x64.sys ou Winring0.sys, que permitem acesso ao nível do kernel para ajustar parâmetros de CPU e aumentar a taxa de hash do mineiro. O uso deste tipo de controladores como alavanca para melhorar o desempenho em criptografia maliciosa não é novo: XMRig incorporou capacidades relacionadas em dezembro de 2019 e desde então diversos atores recorreram a eles para expressar recursos das máquinas infectadas. Para entender melhor as implicações de modificar defesas ou abusar de controladores, a taxonomia de técnicas do MITRE ATT&CK oferece contexto útil em MITRE ATT&CK — Impair Defenses.
Outra peça observada nas operações de REF1695 é SilentCryptoMiner, um mineiro que adota medidas adicionais para burlar deteções e maximizar uptime: recorre a chamadas diretas ao sistema (syscalls) para esquivar hooks de segurança, impede que o Windows entre em modos de suspensão ou hibernação, estabelece persistência por tarefas programadas e usa controladores a nível kernel para otimizar a configuração do CPU. Para garantir que a atividade de mina não seja interrompida, os operadores incorporam também um processo “watchdog” que restaura artefatos e mecanismos de persistência se forem eliminados.
Quanto à recompensa econômica, o ator parece obter retornos constantes: Elastic estima que 27.88 XMR, cerca de 9.400 dólares à mudança de referência, repartidos em quatro carteiras que eles puderam rastrear. Esse número reflete que, embora não necessariamente em massa em comparação com outras operações criminosas, a campanha é rentável e sustentável.
Um detalhe operacional que vale destacar é o uso de plataformas confiáveis como substituto de infraestruturas próprias. Os pesquisadores observaram que os responsáveis alojam binários escalonados em contas do GitHub para servir como CDN. Essa estratégia reduz a fricção de detecção porque os domínios e servidores do GitHub costumam gozar de boa reputação e passam filtros menos rigorosos que infraestruturas controladas completamente pelos atacantes. O GitHub publicou guias e políticas sobre o uso correto de seus serviços; em qualquer caso, o abuso de plataformas legítimas é já uma tendência recorrente no crime econômico moderno.
Que leitura fica para administradores e usuários? A combinação de senheiros convincentes, abusos de funções do sistema e aproveitamento de serviços legítimos mostra que a defesa deve ser múltipla e crítica com as ações do próprio usuário. Evitar montar ou executar imagens ISO não verificadas, desconfiar de instruções que pedem evitar advertências de segurança, aplicar políticas restritivas sobre a execução de programas e sobre a instalação de controladores de kernel, e monitorar tanto o uso anormais de CPU como conexões HTTP salientes para servidores desconhecidos são medidas que reduzem significativamente o risco. Também é recomendável auditar contas do GitHub e outras plataformas onde possam ser alojados binários, bem como aplicar regras que inspeccionem e bloqueiem downloads a partir de repositórios não aprovados.
A campanha REF1695 é um lembrete de que os atores motivados por dinheiro combinam engenharia social e técnicas técnicas para obter acesso, persistência e desempenho. A melhor defesa continua a ser uma mistura de consciência do usuário, manutenção de controles de segurança atualizados e capacidades de detecção que saibam identificar tanto o comportamento anormal do sistema (picos de CPU, exclusões em antivírus, tarefas programadas suspeitas) como o abuso de serviços legítimos para entregar malware. Para aqueles que querem aprofundar as ferramentas de mina e suas implementações, o repositório oficial de XMRig fornece contexto técnico sobre o software que é frequentemente reutilizado por atores maliciosos: XMRig no GitHub. Se quiser conhecer em detalhe as técnicas de ofuscação e empacotamento em .NET, a solução comercial .NET Reactor utilizada por alguns ataques pode ser consultada em Eziriz — .NET Reactor.
Em suma, REF1695 não introduz uma técnica completamente nova, mas salienta a eficácia de combinar truques de engenharia social com abusos a baixo nível do sistema e o uso de infra-estruturas “de confiança” para manter operações lucrativas e duradouras. A resposta passa por camadas de proteção técnicas, políticas de controle de software e, talvez, o mais importante, por usuários formados para não executar cegas o que aparece como “instalador” em um arquivo que não vem de uma fonte verificada.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...