Il team di analisi dell’ASEC ha recentemente scoperto che uno strumento di accesso remoto tramite delle pagine di phishing verrebbe distribuito, camuffato da videogame Pokemon, per assumere il controllo dei dispositivi delle vittime. Gli indirizzi web di queste pagine sarebbero state condivise tra i giovani su social media, chat e forum.
Il prodotto per l’accesso remoto sarebbe una versione malevola di NetSupport Manager. Non è comunque una novità che vari tool legittimi e simili come AnyDesk, TeamViewer, Ammyy Admin e Tmate vengano utilizzati in modo improprio per questi tipi di attacchi dagli attori delle minacce nella speranza di eludere i software di sicurezza.
NetSupport Manager
NetSupport Manager è uno strumento di controllo remoto che può essere installato e utilizzato per il controllo remoto di sistemi. Tuttavia, il suo impiego può essere sfruttato malevolmente per l’installazione di malware aggiuntivo, l’esfiltrazione di informazioni e per consentire il controllo illecito di dispositivi. Le funzionalità previste da NetSupport per impostazione predefinita includono infatti non solo il controllo remoto dello schermo, ma anche l’acquisizione dello schermo, la condivisione degli appunti, la raccolta di informazioni sulla cronologia Web, la gestione dei file e l’esecuzione di comandi.
La pagina di Phishing
Una volta dirottato il traffico verso il sito web malevolo (hxxps://pokemon-go[.]io, hxxps://beta-pokemoncards[.]io) la pagina di phishing della campagna in oggetto ora offline invitava a scaricare la versione per Windows di CARD POKEMON GAME (gioco molto popolare tra i giovani) tramite il pulsante “Play on PC“. L’eventuale download avrebbe scaricato in realtà una un eseguibile per l’installazione di una versione RAT dello strumento NetSupport.
La catena d’infezione
Il file da scaricare (PokemonBetaGame.exe) presentava un’icona afferente al gioco Pokemon che poteva indurre gli utenti ad installarlo senza indugio.
In realtà l’effettivo eseguibile del NetSupport RAT (“client32.exe”) se lanciato installava tutti i file necessari, impostati come nascosti, in una nuova cartella nel percorso “%APPDATA%, per eludere un eventuale rilevamento manuale da parte delle vittime. Inoltre, veniva creata una voce nella cartella Avvio di Windows per garantire l’esecuzione del RAT all’avvio del sistema.
Il server C2
L’analisi di ASEC mostra inoltre come l’indirizzo del server C2 dell’autore della minaccia sarebbe stato incluso nel file di configurazione “client32.ini”.
Una volta eseguito, NetSupport RAT leggendo questo file di configurazione accedeva e stabiliva una connessione con il server presidiato, consentendo all’operatore il pieno controllo del sistema infetto. Gli autori delle minacce potevano così connettersi in remoto al dispositivo per rubare dati, installare altro malware o persino tentare di diffondere l’infezione sulla rete.
A rischio sicurezza e privacy
ASEC ha appurato che per la distribuzione del malware gli attori malevoli possono sfruttare anche nomi di programmi diversi dal gioco Pokemon come ad esempio Visual Studio e SocGholish.
“I casi più importanti mostrano che recentemente sono stati distribuiti tramite e-mail di spam camuffate da fatture, documenti di spedizione e ordini di acquisto. [1] Inoltre, nella seconda metà dell’anno, si è verificato un caso in cui gli utenti sono stati indotti a installare il malware da una pagina di phishing camuffata da pagina di aggiornamento per un software chiamato SocGholish. [2]” commentano gli esperti ASEC.
“Quando NetSupport RAT è installato”, continuano, “l’autore della minaccia può ottenere il controllo del sistema infetto. Ciò significa che l’autore della minaccia può eseguire vari comportamenti dannosi come l’estorsione delle credenziali dell’utente e l’installazione di malware aggiuntivo“. Pertanto le conseguenze di un tale attacco riuscito possono davvero essere gravi, minando sia la sicurezza dei dispositivi che la privacy degli utenti.
Per prevenire una eventuale infezione gli esperti infine consigliano agli utenti di:
- acquistare/scaricare software esclusivamente dai siti Web ufficiali;
- astenersi dall’aprire allegati e link in e-mail sospette;
- mantenere aggiornati programmi e sistema operativo all’ultima versione possibile.
Ulteriori dettagli li trovate sul blog.
