I ricercatori hanno individuato due siti di phishing – uno che riproduce una pagina web di Cisco e l’altro mascherato da sito di Grammarly – che gli attori delle minacce utilizzano per distribuire un malware particolarmente pericoloso noto come “DarkTortilla”. Il malware basato su .NET può essere configurato per fornire vari payload ed è noto per le sue funzioni che lo rendono estremamente furtivo e persistente sui sistemi che compromette. Diversi gruppi di minacce hanno utilizzato DarkTortilla almeno dal 2015 per rilasciare ruba-informazioni e Trojan di accesso remoto, come AgentTesla, AsyncRAT e NanoCore. Anche alcuni gruppi di ransomware, come gli operatori di Babuk, hanno utilizzato DarkTortilla come parte della loro catena di distribuzione del payload. In molte di queste campagne, gli aggressori hanno utilizzato principalmente allegati di file dannosi (.zip, .img, .iso) nelle e-mail di spam per avvolgere gli ignari utenti nel malware.
Consegna di DarkTortilla tramite siti di phishing
Recentemente, i ricercatori dei Cyble Research and Intelligence Labs hanno identificato una campagna dannosa in cui gli attori delle minacce utilizzano due siti di phishing, mascherati da siti legittimi, per distribuire il malware. Cyble ha ipotizzato che gli operatori della campagna stiano probabilmente utilizzando e-mail di spam o annunci online per distribuire i link ai due siti. Gli utenti che seguono il link al sito web di Grammarly camuffato finiscono per scaricare un file dannoso chiamato “GnammanlyInstaller.zip” quando cliccano sul pulsante “Ottieni Grammarly”. Il file .zip contiene un programma di installazione dannoso camuffato da eseguibile di Grammarly che scarica un secondo eseguibile .NET a 32 bit crittografato. Questo a sua volta scarica un file DLL crittografato da un server remoto controllato dall’aggressore. L’eseguibile .NET decifra il file DLL crittografato e lo carica nella memoria del sistema compromesso, dove esegue una serie di attività dannose, secondo Cyble. Il sito di phishing di Cisco sembra invece una pagina di download per la tecnologia Secure Client VPN di Cisco. Ma quando un utente clicca sul pulsante per “ordinare” il prodotto, finisce per scaricare un file VC++ dannoso da un server remoto controllato dall’aggressore. Il malware innesca una serie di azioni che terminano con l’installazione di DarkTortilla sul sistema compromesso. L’analisi di Cyble del payload ha mostrato che il malware impacchetta funzioni per la persistenza, l’iniezione di processi, l’esecuzione di controlli antivirus e di macchine virtuali/sandbox, la visualizzazione di messaggi falsi, la comunicazione con il server di comando e controllo (C2) e il download di payload aggiuntivi da esso. I ricercatori di Cyble hanno scoperto che per garantire la persistenza su un sistema infetto, ad esempio, DarkTortilla rilascia una copia di se stesso nella cartella di avvio del sistema e crea voci di registro Run/Winlogin. Come ulteriore meccanismo di persistenza, DarkTortilla crea anche una nuova cartella denominata “system_update.exe” sul sistema infetto e vi copia se stesso.
Un malware sofisticato e pericoloso
La funzionalità dei falsi messaggi di DarkTortilla serve fondamentalmente a ingannare le vittime, facendo loro credere che l’applicazione Grammarly o Cisco desiderata non sia stata eseguita perché alcuni componenti dell’applicazione dipendenti non erano disponibili sul loro sistema. “Il malware DarkTortilla è un malware altamente sofisticato basato su .NET che prende di mira gli utenti in libertà”, hanno dichiarato i ricercatori di Cyble in un avviso di lunedì. “I file scaricati dai siti di phishing presentano diverse tecniche di infezione, il che indica che [gli attori delle minacce] dispongono di una piattaforma sofisticata in grado di personalizzare e compilare il binario utilizzando varie opzioni”. DarkTortilla, come detto, agisce spesso come caricatore di primo livello per ulteriori malware. All’inizio di quest’anno i ricercatori della Counter Threat Unit di Secureworks hanno identificato gli attori delle minacce che utilizzano DarkTortilla per distribuire in massa un’ampia gamma di malware, tra cui Remcos, BitRat, WarzoneRat, Snake Keylogger, LokiBot, QuasarRat, NetWire e DCRat. Sono stati inoltre identificati alcuni avversari che utilizzano il malware in attacchi mirati per fornire kit di attacco post-compromissione Cobalt Strike e Metasploit. All’epoca, Secureworks aveva dichiarato di aver contato almeno 10.000 campioni unici di DarkTortilla da quando, l’anno scorso, aveva individuato per la prima volta un attore di minacce che utilizzava il malware in un attacco mirato a una vulnerabilità critica di Microsoft Exchange per l’esecuzione di codice remoto (CVE-2021-34473). Secureworks ha giudicato DarkTortilla molto pericoloso per il suo alto grado di configurabilità e per l’uso di strumenti open source come CofuserEX e DeepSea per offuscare il codice. Il fatto che il payload principale di DarkTortilla venga eseguito interamente in memoria è un’altra caratteristica che rende il malware pericoloso e difficile da individuare, ha osservato Secureworks all’epoca.
