Gli attori delle minacce stanno utilizzando falsi aggiornamenti software per distribuire un nuovo malware chiamato CoinLurker. Scritto in Go, CoinLurker utilizza tecniche avanzate di offuscamento e anti-analisi, rendendolo uno strumento altamente efficace negli attacchi informatici moderni. Gli attacchi sfruttano avvisi di aggiornamento falsi che impiegano vari punti di ingresso ingannevoli, come notifiche di aggiornamento software su siti WordPress compromessi, reindirizzamenti malvagi, email di phishing che collegano a pagine di aggiornamento falsificate, falsi prompt di verifica CAPTCHA, download diretti da siti falsi o infetti e link condivisi tramite social media e app di messaggistica.

Indipendentemente dal metodo utilizzato per avviare la catena di infezione, i prompt di aggiornamento software sfruttano Microsoft Edge Webview2 per avviare l'esecuzione del payload. La dipendenza di Webview2 da componenti preinstallati e dall'interazione dell'utente complica l'analisi dinamica e in sandbox, consentendo al malware di eludere il rilevamento automatico. Una delle tattiche avanzate adottate in queste campagne riguarda l'uso di una tecnica chiamata EtherHiding, in cui i siti compromessi sono iniettati con script progettati per contattare l'infrastruttura Web3 al fine di recuperare il payload finale da un repository Bitbucket che si maschera come strumenti legittimi.

Questi eseguibili, a loro volta, sono firmati con un certificato EV legittimo ma rubato, aggiungendo un ulteriore livello di inganno allo schema e bypassando le barriere di sicurezza. Nella fase finale, il "multi-layered injector" viene utilizzato per distribuire il payload nel processo di Microsoft Edge. CoinLurker utilizza anche un design intelligente per nascondere le sue azioni e complicare l'analisi, incluso un pesante offuscamento per verificare se la macchina è già compromessa, decodificando il payload direttamente in memoria durante l'esecuzione e prendendo misure per oscurare il percorso di esecuzione del programma utilizzando controlli condizionali, assegnazioni ridondanti di risorse e manipolazioni iterative della memoria.

Una volta lanciato, CoinLurker avvia comunicazioni con un server remoto utilizzando un approccio basato su socket e procede a raccogliere dati da directory specifiche associate a portafogli di criptovalute, Telegram, Discord e FileZilla. Questo approccio assicura che il malware eluda il rilevamento, si integri perfettamente nell'attività del sistema legittima e bypassi le regole di sicurezza di rete che si basano sul comportamento dei processi per il filtraggio.

CoinLurker, una volta lanciato, inizia le comunicazioni con un server remoto utilizzando un approccio basato su socket e procede a raccogliere dati da directory specifiche associate a portafogli di criptovalute, Telegram, Discord e FileZilla. Questo scansionamento completo sottolinea l'obiettivo primario di CoinLurker di raccogliere dati e credenziali utente legate alle criptovalute. Il suo targeting di portafogli sia mainstream che oscuri dimostra la sua versatilità e adattabilità, rendendolo una minaccia significativa per gli utenti nell'ecosistema delle criptovalute.