Una campagna malware sarebbe stata scoperta dagli analisti delle minacce di Malwarebytes, i quali hanno fornito dettagli e indicatori di compromissione in un loro rapporto.
Un attore di minacce non identificato starebbe prendendo di mira utenti tedeschi interessati alla crisi ucraina, cercando di diffondere un PowerShell RAT personalizzato e in grado di rubare dati ed eseguire altri comandi dannosi sul computer delle vittime.
Per l’intento gli autori starebbero utilizzando un sito trappola attirando gli utenti con falsi bollettini che conterrebbero informazioni aggiornate sulla situazione in Ucraina.
Il sito esca
Per la sua realizzazione gli attori delle minacce secondo la ricostruzione avrebbero registrato un dominio scaduto associato al Baden-Württemberg.
Nella fattispecie il dominio utilizzato in questi attacchi sarebbe “collaboration-bw[.]de” ora divenuto un perfetto clone del sito originale “baden-wurttemberg.de“.
I visitatori del sito troveranno una pagina disponibile per il download gratuito di un archivio .zip chiamato “2022-Q2-Bedrohungslage-Ukraine" (Situazione di minaccia in Ucraina per il secondo trimestre).
Di seguito una traduzione del testo della pagina esca
"Importante, attuale situazione di minaccia per quanto riguarda la crisi ucraina Su questo sito web troverai sempre le informazioni e i suggerimenti più importanti per affrontare l'attuale minaccia rappresentata dalla crisi ucraina. Scarica ora il documento e leggi le informazioni aggiornate. Il documento è costantemente aggiornato. I nostri suggerimenti possono essere praticamente implementati nel lavoro quotidiano e dovresti già implementarli oggi. Grazie per il vostro sostegno."
Il documento malevolo
Il file di archivio contiene un file .CHM avente lo stesso nome dello zip (ovvero un file help HTML di Microsoft, che consiste in una serie di file HTML compilati) che se aperto visualizza un falso messaggio di errore avviando in realtà la catena d’infezione.
In background, si attiva PowerShell per eseguire un deoffuscatore Base64 che porta al recupero e all’esecuzione di uno script che alla fine rilascia due file sul computer della vittima:
- il RAT “Status.txt”;
- un file .cmd per l’esecuzione persistente del RAT via PowerShell, “MonitorHealth.cmd” .
Il RAT Powershell
Il RAT una volta installato avvia le sue attività raccogliendo informazioni e esfiltrando il tutto con una struttura dati JSON inviata ad un server C2 (dominio tedesco “kleinm[.]de) tramite una richiesta POST.
Inoltre lo stesso script cercherà di ingannare l’interfaccia di scansione antimalware di Windows (Windows AMSI) tramite una funzione crittografata AES denominata “bypass”.
Conclusioni
“Non è facile attribuire questa attività a un attore specifico e non ci sono solidi indicatori a supporto dell’attribuzione. Basandoci sulla sola motivazione, ipotizziamo che un attore di minacce russo potrebbe prendere di mira utenti tedeschi, ma senza connessioni chiare nell’infrastruttura o somiglianze con TTP noti, tale attribuzione risulta debole” concludono gli analisti Hossein Jazi e Jérôme Segura di Malwarebytes
In ogni caso l’attenzione deve rimanere alta.
