Een lopende phishingcampagne richt zich op Franstalige zakelijke omgevingen met nep-cv's die leiden tot de installatie van cryptocurrency miners en malware voor het stelen van gegevens. De campagne maakt gebruik van sterk verhulde VBScript-bestanden die als cv-documenten worden vermomd en via phishingmails worden verspreid, aldus onderzoekers van Securonix in een rapport gedeeld met The Hacker News.

Na uitvoering zet de malware een multifunctionele toolkit in die credentialdiefstal, data-exfiltratie en Monero-mining combineert om maximaal financieel gewin te behalen. De campagne, door het beveiligingsbedrijf gecodeerd als FAUX#ELEVATE, maakt misbruik van legitieme diensten en infrastructuur, waaronder Dropbox voor het hosten van payloads, Marokkaanse WordPress-sites voor command-and-control configuraties en mail[.]ru SMTP-servers voor het exfiltreren van gestolen browsergegevens en bestanden.

Het aanvallersmodel is een living-off-the-land-aanval die geavanceerd gebruikmaakt van bestaande systemen om detectie te ontwijken. Het initiële dropperbestand is een VBScript dat bij openen een valse foutmelding in het Frans toont, waardoor ontvangers denken dat het bestand corrupt is. Achter de schermen voert het sterk verhulde script diverse controles uit om sandbox-omgevingen te omzeilen en start het een persistent User Account Control (UAC) proces om administratorrechten te verkrijgen.

Van de 224.471 regels in het script bevatten slechts 266 regels daadwerkelijke code; de rest bestaat uit willekeurige Engelse zinnen als commentaar, waardoor het bestand 9,7 MB groot is. De malware controleert via Windows Management Instrumentation (WMI) of het systeem deel uitmaakt van een domein, zodat alleen enterprise-machines worden geïnfecteerd en thuiscomputers worden uitgesloten.

Na het verkrijgen van administratorrechten schakelt de dropper beveiligingsmaatregelen uit, configureert het Microsoft Defender-exclusiepaden voor alle hoofdstations (C tot I), zet UAC uit via een registerwijziging en verwijdert zichzelf. Vervolgens downloadt het twee met wachtwoord beveiligde 7-Zip-archieven van Dropbox met tools voor credentialdiefstal, persistentie, opruiming en cryptomining.

Onder de gebruikte tools bevindt zich een component die via het ChromElevator-project gevoelige gegevens uit Chromium-gebaseerde browsers kan halen door app-bound encryptie te omzeilen. Andere malwareonderdelen stelen Firefox-profielen, exfiltreren desktopbestanden en starten een XMRig Monero-miner, waarbij een legitieme Windows kernel-driver wordt ingezet om de CPU-prestaties te optimaliseren. Een persistente Trojan wijzigt firewallregels en communiceert regelmatig met een command-and-control server.

De exfiltratie van browserdata verloopt via twee mail[.]ru-accounts die met hetzelfde wachtwoord SMTP gebruiken om gestolen gegevens naar een door de aanvallers beheerd e-mailadres te sturen. Na voltooiing van de diefstal en exfiltratie ruimt de malware de meeste gebruikte tools op om sporen te minimaliseren, waarbij alleen de cryptominer achterblijft.