Backdoor PowerShell usata per cyberspionaggio

Backdoor PowerShell usata per cyberspionaggio

Una backdoor PowerShell, nascosta in un documento inviato via email, è stata utilizzata per attività di cyberspionaggio contro specifici target.
Una backdoor PowerShell, nascosta in un documento inviato via email, è stata utilizzata per attività di cyberspionaggio contro specifici target.

I ricercatori del SafeBreach Labs hanno scoperto una backdoor PowerShell, finora non documentata e difficile da rilevare, utilizzata per colpire almeno 100 vittime. In base alle sue funzionalità, il malware è stato sfruttato sicuramente per eseguire attacchi di cyberspionaggio, in particolare con l’obiettivo di esfiltrare dati riservati dai sistemi compromessi. Fortunatamente molte soluzioni di sicurezza possono bloccare la minaccia.

Cyberspionaggio con backdoor PowerShell

La catena di infezione prevede inizialmente un attacco di spear phishing contro specifici target individuati su LinkedIn. Le vittime vengono contattate via email con una presunta offerta di lavoro. L’allegato Apply Form.docm nasconde una macro che scarica ed esegue lo script updater.vbs. Viene quindi creata un’attività pianificata che simula un aggiornamento di Windows.

Lo script VBS crea quindi due script PowerShell, ovvero Script.ps1 e Temp.ps1, che vengono copiati nella directory AppData%%\Local\Microsoft\Windows\Update. Script.ps1 si collega al server C2, dal quale riceve comandi cifrati con AES-256 CBC, che successivamente vengono decifrati da Temp.ps1.

La maggioranza dei comandi permette di esfiltrare i dati dai computer, mentre altri raccolgono varie informazioni o cancellano file. Al momento della scoperta, la backdoor non veniva rilevata da nessun antivirus. Ora la maggioranza delle soluzioni di sicurezza blocca il documento Word, la macro VBS e i due script PowerShell. È quindi necessario installare tutti gli aggiornamenti disponibili.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: SafeBreach
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 21 ott 2022
Link copiato negli appunti