Una campagna di intrusione multistadio usa un'immagine JPEG contraffatta per distribuire una versione modificata di ConnectWise ScreenConnect che fornisce agli attaccanti strumenti di sorveglianza, furto di credenziali e controllo remoto.
Autore: Redazione SecurityOpenLab
I ricercatori di Cyfirma hanno identificato e analizzato una campagna di intrusione che sfrutta un file con estensione .jpeg per distribuire una versione modificata del software di accesso remoto ConnectWise ScreenConnect su sistemi Windows. L'analisi descrive una catena di attacco multistadio che combina tecniche di evasione avanzate, escalation di privilegi senza tracce forensi e un framework di post-compromissione capace di sorveglianza audio e video, furto di credenziali e controllo remoto persistente.
Tutto inizia con un file chiamato sysupdate.jpeg che si presenta come una normale immagine. In realtà un’ispezione a livello esadecimale conferma che i byte identificativi del formato JPEG sono stati rimpiazzati con comandi PowerShell offuscati. Il file viene distribuito attraverso tecniche di social engineering (email di phishing, link a condivisioni cloud, prompt di aggiornamento fasulli) e sfrutta la fiducia degli utenti nell'estensione .jpeg per aggirare i filtri basati sul tipo di file adottati negli ambienti enterprise.
All'esecuzione, lo script PowerShell crea una cartella di appoggio nel percorso C:\Systems e si connette all'infrastruttura controllata dagli attaccanti sulla porta non standard 5443, da cui scarica i componenti successivi della catena. L'intera esecuzione avviene prevalentemente in memoria, evitando la scrittura su disco. Per eludere ulteriormente le difese, il codice malevolo bypassa AMSI, il meccanismo di Windows che permette ai software di sicurezza di ispezionare gli script in esecuzione. I comandi potenzialmente sospetti vengono ricostruiti dinamicamente a runtime attraverso concatenazione e sostituzione di stringhe.
Anziché consegnare un file malevolo già pronto, l'attaccante invia il codice sorgente e lo fa compilare direttamente sul sistema della vittima, sfruttando uno strumento legittimo di Microsoft. In questo modo ogni installazione produce un file con caratteristiche uniche, che gli antivirus basati sul riconoscimento di firme note non riescono a identificare. Il risultato è un eseguibile chiamato uds.exe, che avvia le fasi successive dell'attacco in modo silenzioso, senza finestre visibili all'utente.
Una volta in esecuzione, uds.exe avvia una procedura di escalation dei privilegi che non genera alcun avviso visibile. La tecnica sfrutta un componente legittimo di Windows per ottenere permessi amministrativi senza che venga mostrata all'utente alcuna richiesta di conferma. Normalmente Windows avvisa con una schermata esplicita quando un programma tenta di acquisire privilegi elevati; in questo caso il malware aggira quel controllo modificando alcune impostazioni di sistema in modo da reindirizzare l'esecuzione verso il proprio codice. A operazione completata, le chiavi di registro create vengono cancellate in modo da eliminare le tracce forensi.
Con i privilegi ottenuti, il malware installa un servizio Windows battezzato OneDriveServers, che si avvia automaticamente a ogni riavvio del sistema e che garantisce la persistenza dell'accesso. Il nome è scelto per mimetizzarsi tra i processi legittimi di Microsoft. A questo punto viene distribuita la versione modificata di ConnectWise ScreenConnect (v25.9.5.9483) che utilizza i binari ufficiali e firmati, ma sostituisce una libreria con una versione alterata e non firmata, responsabile delle funzionalità malevole. Per permetterne il caricamento senza sollevare allarmi, il malware disabilita il meccanismo di verifica dell'autenticità delle librerie .NET.
Il client ScreenConnect modificato stabilisce una comunicazione cifrata con i server degli attaccanti che risulta sostanzialmente impossibile da intercettare, anche con strumenti di ispezione del traffico di rete. Per garantire la continuità del collegamento, il malware non dipende dai normali sistemi di risoluzione degli indirizzi Internet, ma incorpora direttamente le informazioni necessarie a raggiungere l'infrastruttura degli attaccanti, rendendola raggiungibile anche in ambienti con controlli di rete più stringenti.
L'analisi statica del framework rivela 46 capacità operative a disposizione dell'attaccante. Il sistema supporta la visualizzazione in tempo reale dello schermo e la sua registrazione continua, la cattura dell'audio da microfono e speaker, il monitoraggio degli appunti, l'intercettazione dei lavori di stampa, il trasferimento di file e l'esecuzione di comandi con privilegi SYSTEM senza generare prompt visibili. È presente anche un desktop nascosto indipendente da quello dell'utente legittimo, che consente all'attaccante di operare senza interferire con la sessione attiva e senza essere osservato.
Tra le funzionalità più critiche figura l'intercettazione delle credenziali a livello di schermata di accesso di Windows: il malware si inserisce nel flusso di autenticazione e cattura username e password prima che raggiungano il processo Windows che gestisce le credenziali di accesso, e le trasmette cifrate all'infrastruttura degli attaccanti. Il sistema gestisce inoltre l'intero ciclo di vita degli account locali per permettere la creazione di account amministratori nascosti, il reset delle password, la modifica delle appartenenze ai gruppi e il mantenimento di questi account invisibili nella schermata di login.
Dopo la distribusione, il framework esegue in modalità nascosta una serie di script che preparano l'ambiente per le operazioni successive. Tra questi, un comando per ottenere la compatibilità con strumenti legacy, e una query che enumera i prodotti antivirus installati sul sistema compromesso, restituendo nome, percorso dell'eseguibile e stato operativo di ciascuno. Queste informazioni consentono all'operatore di adattare gli strumenti successivi in maniera da eludere le difese presenti.
Il framework raccoglie e trasmette un profilo dettagliato di ogni sistema compromesso: username, dominio Active Directory, hostname, versione del sistema operativo, modello CPU, memoria installata, indirizzi MAC e IP, numeri seriali hardware, fuso orario e timestamp dell'ultimo avvio. Include anche screenshot in tempo reale e indicatori che permettono di identificare ambienti virtualizzati o sandbox di analisi.
Questa campagna fa parte di un trend più ampio di abuso dei software RMM (Remote Monitoring and Management), ossia di strumenti legittimi di gestione remota che vengono sfruttati come vettori di accesso persistente alle reti enterprise. La catena di attacco sopra descritta indica un threat actor con elevata maturità operativa, compatibile tanto con gruppi a motivazione finanziaria quanto con Initial Access Broker che rivendono l'accesso a terze parti. Le capacità del framework lo rendono adatto anche come stadio preparatorio a un attacco ransomware.