Una campagna di phishing altamente sofisticata sta utilizzando un documento Microsoft Word come esca per distribuire una trilogia di minacce, ovvero Agent Tesla, OriginBotnet e RedLine Clipper, con l’obiettivo di raccogliere una vasta gamma di informazioni da macchine Windows compromesse. Secondo quanto riportato dalla ricercatrice Cara Lin di Fortinet FortiGuard Labs, un’email di phishing distribuisce il documento Word come allegato, presentando un’immagine deliberatamente sfocata e un falso reCAPTCHA per indurre il destinatario a cliccarci sopra.
Dettagli del meccanismo di attacco
Cliccando sull’immagine, viene avviata la consegna di un loader da un server remoto, progettato per distribuire OriginBotnet per il keylogging e il recupero delle password, RedLine Clipper per il furto di criptovalute e Agent Tesla per il prelievo di informazioni sensibili. Il loader, scritto in .NET, utilizza una tecnica chiamata “padding binario”, aggiungendo byte nulli per aumentare la dimensione del file fino a 400 MB, nel tentativo di eludere il rilevamento da parte del software di sicurezza. L’attivazione del loader innesca un processo multi-fase per stabilire una persistenza sull’host e estrarre una libreria di collegamenti dinamici (DLL) responsabile del rilascio dei payload finali.
Analisi delle minacce individuate
Tra i payload rilasciati, vi è RedLine Clipper, un eseguibile .NET progettato per rubare criptovalute manipolando gli appunti del sistema dell’utente per sostituire l’indirizzo del portafoglio di destinazione con uno controllato dall’attaccante. Agent Tesla, invece, è un trojan di accesso remoto (RAT) basato su .NET e uno strumento di furto dati per ottenere un accesso iniziale ed esfiltrare informazioni sensibili come battiture e credenziali di accesso utilizzate nei browser web verso un server di comando e controllo (C2) tramite il protocollo SMTP. Viene anche distribuito un nuovo malware chiamato OriginBotnet, che offre una vasta gamma di funzionalità per raccogliere dati, stabilire comunicazioni con il suo server C2 e scaricare plugin supplementari dal server per eseguire funzioni di keylogging o recupero password su endpoint compromessi.