Dispositivi USB e siti autorevoli: il malware EMPTYSPACE colpisce prevalentemente in Italia

Dispositivi USB e siti autorevoli: il malware EMPTYSPACE colpisce prevalentemente in Italia

Un gruppo hacker sfrutta una tecnica ingegnosa per nascondere alcuni elementi di una catena d'attacco per installare un malware che ruba criptovalute

di pubblicata il , alle 12:11 nel canale Sicurezza
 

La società di sicurezza informatica Mandiant ha individuato un attore di minaccia che utilizza dispositivi USB come vettore di infezione iniziale e successivamente sfrutta piattaforme online legittime per ospitare payload intermdi, che innescano poi il download del malware finale, all'interno di contenuti apparentemente innocui. La mano dietro a questa campagna è tracciata da Mandiant come UNC4990 e risulta in attività almeno dal 2020, prendendo di mira in prevalenza utenti italiani e a scopi di guadagni finanziari.

Il primo anello della catena di attacco è un drive USB contenente un file di collegamento .lnk, ma al momento non è noto in che modo vengano distribuiti i dispositivi USB compromessi alle vittime. Se il collegamento viene aperto, si avvia l'esecuzione di uno script PowerShell che scarica un payload intermedio che viene decodificato in un URL usato per scaricare e installare il downloader del malware chiamato EMPTYSPACE.

Il malware stabilisce un canale di comunicazione con il server di comando e controllo degli hacker, scaricando successivamente una backdoor denominata "QUIETBOARD" e una serie di criptominer occulti per ricavare Monero, Ethereum, Dogecoin e Bitcoin. Mandiant ha seguito gli indirizzi dei wallet usati per depositare le criptovalute, rilevando un bottino complessivo di 55 mila dollari (escluso Monero, date le sue caratteristiche di privacy).

La backdoor QUIETBOARD mette a disposizione degli attaccanti numerose funzionalità, tra cui l'esecuzione di comandi, script e codice ricevuti dal server di comando e controllo, l'alterazione del contenuto degli appunti per il furto di criptovalute, la possibilità di compromettere unità rimovibili per diffondere il malware su altri sistemi, l'acquisizione di screenshot per il furto di informazoni e la raccolta di informazioni, anche geografiche, sul sistema compromesso e sull'eventuale rete in cui si trova. La backdoor ha capacità di persistenza e supporta inoltre l'espansione a nuove funzionalità tramite moduli aggiuntivi.

L'aspetto peculiare di questa catena di attacco è il fatto che i payload intermedi vengono nascosti da UNC4990 in file di testo codificati caricati su GitHub e GitLab, ma anche sfruttando piattaforme come Vimeo o siti come ArsTechnica per ospitare stringhe codificate Base64 e crittografate AES. In questo caso non viene fatta leva su alcuna vulnerabilità dei siti scelti per ospitare il payload, ma vengono utilizzate le normali funzionalità messe a disposizione degli utenti: i payload sono stati occultati in alcuni casi nelle descrizioni di video di Vimeo o nella pagina delle informazioni in un profilo utente sul forum di ArsTechnica.

Questi payload intermedi non comportano rischi per gli utenti che visitano queste pagine web, poiché sono semplici stringhe di testo che per poter svolgere la loro funzione devono essere integrate nella catena di attacco che li utilizza per innescare il download del malware.

Lo stratagemma di nascondere "in bella vista" i payload intermedi su piattaforme legittime, note e affidabili permette agli attori di minaccia di sfruttare proprio l'autorevolezza di queste piattaforme riducendo le probabilità che i sistemi di sicurezza le segnalino come sospette. Non solo: normalmente si tratta di piattaforme che si avvalgono di grandi reti di distribuzione dei contenuti e mescolare questi payload all'interno di grandi volumi di traffico legittimo rende ancor più difficile la loro individuazione. E' una tecnica che potrebbe essere tranquillamente e facilmente utilizzata su altre piattaforme che offrono agli utenti la possibilità di inserire commenti.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
virtualdj01 Febbraio 2024, 13:03 #1
Non capisco come possa partire e fare danni uno script Powershell (file .ps1) se bisogna sempre autorizzarlo a prori...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^