Un’entità malevola finora sconosciuta, soprannominata SPIKEDWINE, ha avviato attacchi mirati contro funzionari europei con missioni diplomatiche indiane, utilizzando una nuova backdoor denominato WINELOADER. Questi attacchi, rilevati da Zscaler ThreatLabz, sono stati camuffati da inviti a degustazioni di vino, provenienti presumibilmente dall’Ambasciatore dell’India, diffusi tramite email e accompagnati da un file PDF. Questo documento, individuato per la prima volta il 30 gennaio 2024 e caricato su VirusTotal dalla Lettonia, sembra far parte di una campagna in atto dal 6 luglio 2023.
Tattiche avanzate e evasione forense
Gli attacchi si distinguono per il loro basso volume e l’uso di tattiche, tecniche e procedure (TTP) avanzate nell’ambito del malware e dell’infrastruttura di comando e controllo (C2). Il file PDF in questione contiene un link malevolo che si spaccia per un questionario, incitando i destinatari a compilarlo per partecipare all’evento. Cliccando sul link, si attiva un’applicazione HTML (“wine.hta”) con codice JavaScript offuscato, il quale scarica l’archivio ZIP codificato contenente WINELOADER dallo stesso dominio.
Il malware si caratterizza per un modulo principale progettato per eseguire moduli dal server C2, auto-iniettarsi in un’altra libreria a collegamento dinamico (DLL) e aggiornare l’intervallo di pausa tra le richieste di beacon. Un aspetto notevole di questi attacchi cyber è l’uso di siti web compromessi per il C2 e l’hosting di payload intermedi, con il server C2 che risponde solo a tipi specifici di richieste in determinati momenti, rendendo gli attacchi più elusivi.
Gli autori di queste incursioni hanno dedicato sforzi significativi per rimanere non rilevati, eludendo la forense della memoria e le soluzioni automatiche di scansione degli URL. Questa campagna mette in luce la crescente sofisticazione degli attacchi cyber e la necessità per le organizzazioni di rafforzare le loro difese contro tali minacce evasive.