Il gruppo di cybercriminali ScarCruft, conosciuto per essere legato alla Corea del Nord, ha iniziato a sperimentare l’utilizzo di file LNK per distribuire il malware RokRAT, evidenziando un cambiamento nelle tattiche di attacco.
L’evoluzione dei metodi di distribuzione di RokRAT
Il malware RokRAT, pur non avendo subito cambiamenti significativi nel tempo, ha visto i suoi metodi di distribuzione evolversi. Adesso utilizza archivi contenenti file LNK che avviano catene di infezione multi-stadio, una tendenza crescente nel panorama delle minacce informatiche.
Il gruppo ScarCruft e i suoi obiettivi
ScarCruft, noto anche come APT37, InkySquid, Nickel Foxcroft, Reaper, RedEyes e Ricochet Chollima, è un gruppo di cybercriminali che si concentra quasi esclusivamente su individui e organizzazioni sudcoreani attraverso attacchi di spear-phishing mirati, utilizzando diversi strumenti personalizzati.
Le funzionalità di RokRAT
RokRAT e le sue varianti sono in grado di svolgere una vasta gamma di attività, come il furto di credenziali, l’estrazione di dati, la cattura di screenshot, la raccolta di informazioni sul sistema e l’esecuzione di comandi e shellcode, oltre alla gestione di file e directory.
L’uso dei file LNK come metodo di infezione
L’uso di file LNK come esca per attivare le sequenze di infezione è stato evidenziato anche dall’AhnLab Security Emergency Response Center (ASEC). Questi file contengono comandi PowerShell che distribuiscono il malware RokRAT, segnalando gli sforzi di ScarCruft nel tenere il passo con l’evoluzione del panorama delle minacce.
Un gruppo in continua evoluzione
Nonostante il cambiamento nelle tattiche di attacco, ScarCruft continua a utilizzare documenti Word dannosi basati su macro per distribuire il malware. Il gruppo rappresenta ancora una minaccia considerevole, lanciando campagne su diverse piattaforme e migliorando notevolmente i suoi metodi di distribuzione del malware.