Cisco Talos ha scoperto una nuova campagna di cyber-spionaggio in corso dal febbraio 2024, gestita dall’attore di minaccia noto come CoralRaider. Questa campagna è caratterizzata dall’uso di tre noti malware stealer di informazioni: Cryptbot, LummaC2 e Rhadamanthys.
Dettagli della campagna
CoralRaider sta utilizzando una rete di domini CDN (Content Delivery Network) per ospitare e distribuire file HTA malevoli e payload. Questa strategia consente di mascherare la provenienza del traffico e rendere più difficile per i difensori della rete individuare le attività malevoli. Talos ha osservato che CoralRaider ha avviato attacchi contro utenti in diversi paesi, tra cui Stati Uniti, Nigeria, Pakistan, Ecuador, Germania, Egitto, Regno Unito, Polonia, Filippine, Norvegia, Giappone, Siria e Turchia.
Modalità di attacco e tecnica di evasione
L’attacco inizia con un file di collegamento di Windows che utilizza uno script PowerShell per scaricare e eseguire un file HTA malizioso dai domini controllati dall’attaccante. Questo file HTA esegue uno script JavaScript che decodifica e avvia uno script PowerShell decrypter.
Lo script decrypter, a sua volta, decodifica e esegue uno script PowerShell loader direttamente nella memoria del dispositivo vittima. Questo script loader implementa varie funzioni per evitare rilevamenti e superare i controlli dell’UAC (User Access Control), scaricando e eseguendo infine uno dei payload stealer di informazioni.
Vulnerabilità sfruttate e implicazioni
Questi stealer di informazioni sono progettati per rubare dati sensibili come credenziali di sistema, dati del browser, portafogli di criptovalute e informazioni finanziarie. La campagna evidenzia una sofisticata comprensione delle tecniche di evasione e un approccio agile all’uso di più payload per massimizzare l’efficacia e l’ampiezza degli attacchi.
L’espansione della vittimologia da parte di CoralRaider attraverso l’uso di malware stealer di informazioni rappresenta una significativa minaccia alla sicurezza delle informazioni a livello globale. Organizzazioni e individui devono adottare misure proattive per difendersi da queste tecniche avanzate di attacco, compreso il rafforzamento delle difese contro malware e l’addestramento degli utenti a riconoscere e segnalare attività sospette.
