Sicurezza InformaticaGuerra CiberneticaMalwarePhishing

Fancy Bear: finti annunci di Auto in vendita diffondono malware Headlace

di Livio Varriale
scritto da Livio Varriale 0 commenti 2 minuti di lettura

L’APT28 russo Fancy Bear ha recentemente utilizzato un annuncio di auto in vendita come esca per distribuire il malware HeadLace. Questa campagna, iniziata a marzo 2024, ha avuto come obiettivo principale i diplomatici.

image 21 3
Fancy Bear: finti annunci di Auto in vendita diffondono malware Headlace 7

Fighting Ursa, noto anche come APT28, Fancy Bear e Sofacy, è associato all’intelligence militare russa ed è classificato come una minaccia persistente avanzata (APT). Il gruppo ha utilizzato un annuncio di vendita di un’auto diplomatica come esca per indurre i diplomatici a cliccare su contenuti malevoli, una tattica già vista in passato con altri gruppi di hacker russi.

La campagna di Marzo 2024

L’attacco di marzo 2024, attribuito con un alto livello di fiducia a Fighting Ursa, ha sfruttato servizi pubblici e gratuiti per ospitare diverse fasi dell’attacco. Il punto di partenza dell’infezione è stato un URL creato su Webhook.site, un servizio legittimo usato per progetti di sviluppo. L’URL ha indirizzato le vittime a una pagina HTML malevola che, se visitata da un sistema Windows, avviava il download di un archivio ZIP contenente malware.

Struttura del malware

L’archivio ZIP conteneva tre file: un eseguibile camuffato da immagine (.jpg.exe), una DLL malevola (WindowsCodecs.dll) e un file batch (zqtxmo.bat). L’eseguibile era una copia del file calc.exe di Windows, utilizzata per caricare la DLL malevola. La DLL, a sua volta, eseguiva il file batch, che scaricava e eseguiva ulteriori componenti malevoli.

Tattiche e obiettivi

Fighting Ursa è noto per riutilizzare tattiche di successo e sfruttare vulnerabilità conosciute per lunghi periodi. Questa campagna non fa eccezione, utilizzando annunci falsi per auto in vendita per attrarre i diplomatici e indurli a scaricare malware. L’obiettivo finale del gruppo è raccogliere informazioni sensibili e compromettere i sistemi delle vittime.

Protezione e mitigazione

Le soluzioni di sicurezza di Palo Alto Networks, come Advanced WildFire e Advanced URL Filtering, forniscono protezione contro queste minacce. Inoltre, il gruppo offre strumenti di risposta rapida e playbook per rilevare e mitigare gli attacchi di Fighting Ursa.

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Articoli correlati

Rischi significativi per la cybersecurity: Taiwan pubblica i...

L’Italia non ha alfabetizzazione digitale: nuovo rapporto AGCOM

APT NightEagle: tecniche avanzate e nuove minacce contro...

Rete di frodi finanziarie smantellata in Spagna e...

IconAds, la minaccia mobile che nasconde la fonte...

Catwatchful: app di monitoraggio per minori espone dati...

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope