A postagem do blog de filo fornece nomes, endereços IP e hashes criptográficos associados aos pacotes maliciosos usados nesta campanha.”Por necessidade, os autores de malware tiveram que se esforçar para encontrar maneiras mais novas de esconder intenções e ofuscar servidores remotos sob seu controle”, escreveram os pesquisadores de filum.O endereço IP retornado por um pacote analisado foi: hxxp: //193.233.201 [.] 21: 3001.A carga útil é executada na memória, se define para carregar a cada reinicialização e se conecta ao endereço IP do contrato Ethereum.A campanha, que estava ativa no momento em que este post estava sendo lançado no ARS, foi relatado por pesquisadores do Phylum da empresa de segurança.
