I ricercatori del SafeBreach Labs hanno scoperto una backdoor PowerShell, finora non documentata e difficile da rilevare, utilizzata per colpire almeno 100 vittime. In base alle sue funzionalità, il malware è stato sfruttato sicuramente per eseguire attacchi di cyberspionaggio, in particolare con l’obiettivo di esfiltrare dati riservati dai sistemi compromessi. Fortunatamente molte soluzioni di sicurezza possono bloccare la minaccia.
Cyberspionaggio con backdoor PowerShell
La catena di infezione prevede inizialmente un attacco di spear phishing contro specifici target individuati su LinkedIn. Le vittime vengono contattate via email con una presunta offerta di lavoro. L’allegato Apply Form.docm nasconde una macro che scarica ed esegue lo script updater.vbs. Viene quindi creata un’attività pianificata che simula un aggiornamento di Windows.
Lo script VBS crea quindi due script PowerShell, ovvero Script.ps1 e Temp.ps1, che vengono copiati nella directory AppData%%\Local\Microsoft\Windows\Update. Script.ps1 si collega al server C2, dal quale riceve comandi cifrati con AES-256 CBC, che successivamente vengono decifrati da Temp.ps1.
La maggioranza dei comandi permette di esfiltrare i dati dai computer, mentre altri raccolgono varie informazioni o cancellano file. Al momento della scoperta, la backdoor non veniva rilevata da nessun antivirus. Ora la maggioranza delle soluzioni di sicurezza blocca il documento Word, la macro VBS e i due script PowerShell. È quindi necessario installare tutti gli aggiornamenti disponibili.
Ti potrebbe interessare
21 ott 2022