Crypter-as-a-Service, una minaccia che viaggia sullo spear-phishing

Una campagna di spear phishing sta diffondendo una serie di RAT tramite un sofisticato Crypter-as-a-Service. Microsoft e Morphisec forniscono gli indicatori d'attacco per difendersi.

Business
Microsoft ha allertato circa una nuova campagna di spear-phishing rivolta alle aziende aerospaziali e aeree. Diffonde più trojan di accesso remoto (RAT) utilizzando un nuovo loader. Fra questi, gli insidiosi RevengeRAT e AsyncRAT. L'elemento che preoccupa maggiormente non è la componente di phishing, piuttosto standard, quanto il loader. Gli analisti di Morphisec, dopo averlo studiato, lo hanno inquadrato come un Crypter-as-a-Service, un servizio a noleggio offerto sul dark web. È stato soprannominato Snip3 e viene utilizzato per scaricare i payload Revenge RAT, AsyncRAT, Agent Tesla e NetWire RAT su sistemi compromessi.

La attack chain parte con la classica email di phishing mirato, caratterizzata dal logo falso della legittima compagnia aerea o aerospaziale. Allegato c'è un documento PDF che millanta importanti informazioni relative a vari settori, dall'aviazione ai viaggi fino al trasporto merci. Se il destinatario apre tale file, scarica inconsapevolmente dei file VBS VBScript che eseguono uno script PowerShell. Quest'ultimo, a sua volta, esegue il payload del RAT finale.

L'obiettivo degli attaccanti è raccogliere ed esfiltrare dati dai dispositivi infetti mediante le funzionalità dei RAT di controllo remoto, keylogging e furto di password. Vengono collezionate credenziali, screenshot, dati della webcam, dati del browser, del sistema, della rete. Tutto viene poi trasmesso ai server di comando e controllo tramite la porta SMTP 587. Gli esperti di Morphisec hanno inoltre rilevato che Snip3 è capace di identificare il sandboxing e gli ambienti virtuali, e di bypassare le soluzioni anti-malware incentrate sul rilevamento.
e1inmv9uyaa89wq jfif

Tecniche di mitigazione


Nonostante le tecniche evasive adottate dai cyber criminali, ci sono alcune accortezze che i team di security possono adottare per intercettare gli attacchi. Microsoft fa notare che si possono utilizzare query che ha appositamente condiviso per abilitare l'antimalware Defender a individuare e analizzare comportamenti sospetti correlati a questa campagna.

Utilizzando queste query si possono intercettare i protocolli di comunicazione che sta usando Snip3, lo sfruttamento dannoso di strumenti legittimi quali RegAsm, RegSvcs e InstallUtil. Inoltre, è possibile rilevare il comando PowerShell offuscato tramite codifica UTF8 che viene usato in questa campagna. Allo stesso modo, è possibile rilevare la chiamata del loader alla funzione DetectSandboxie che viene usata da RevengeRAT e AsyncRAT per individuare e aggirare le sandbox.
untitled presentation (4)Come accade sempre più spesso, il tempo è un fattore determinante per una strategia di difesa efficace. prima si riesce a bloccare una minaccia come quella oggetto di questa notizia, meno saranno i danni riportati dall'azienda vittima. Tutti gli indicatori d'attacco sono descritti sul blog ufficiale di Morphisec. Altre indicazioni sono state diffuse da Microsoft via

https://twitter.com/MsftSecIntel/status/1392219299696152578

">Twitter.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Set 30
Webinar Kaspersky - Guai con i ransomware? Volete essere flessibili ma al riparo da attacchi informatici?
Ott 05
VMworld 5-7 ottobre 2021
Ott 12
Webinar Zyxel - Uffici “ibridi” e modalità di lavoro “fluida"

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori