Campagna di phishing contro numerose aziende

Campagna di phishing contro numerose aziende

FireEye ha scoperto una campagna di phishing contro diverse aziende nel mondo che viene attuata tramite una serie di tre malware.
FireEye ha scoperto una campagna di phishing contro diverse aziende nel mondo che viene attuata tramite una serie di tre malware.

Gli esperti di FireEye hanno rilevato un'imponente campagna di phishing contro numerose aziende che operano in vari settori e paesi. Gli attacchi sono stati eseguiti sfruttando tre differenti malware. I responsabili non sono noti, ma si tratta certamente di cybercriminali professionisti e con risorse economiche importanti, vista la complessiva dell'infrastruttura utilizzata.

Attacchi phishing con tre malware

La campagna di phishing è avvenuta in due ondate all'inizio e alla fine di dicembre 2020. I malintenzionati hanno utilizzato 26 indirizzi differenti per inviare email contenenti un link ad un file ZIP. All'interno del file compresso c'è un documento PDF in cui è nascosto il downloader JavaScript DOUBLEDRAG che rappresenta il primo stadio dell'infezione.

Dopo aver aperto il file PDF viene scaricato in memoria il dropper DOUBLEDROP (secondo stadio), uno script PowerShell che esegue la backdoor DOUBLEBACK (terzo stadio). Durante la seconda ondata della campagna, il file PDF è stato sostituito da un file Excel con macro che nasconde DOUBLEDRAG.

I cybercriminali hanno scelto come vittime diverse aziende operanti in svariati settori, la maggioranza delle quali sono negli Stati Uniti (ma molte sono anche in Europa, Africa, Medio Oriente, Asia e Australia). Gli attacchi hanno avuto più successo del solito perché i destinatari sono stati ingannati dai mittenti delle email di phishing, principalmente account dei dirigenti.

L'aspetto interessante del funzionamento è che nel file system del sistema operativo è rilevabile solo il downloader DOUBLEDRAG. Dropper e backdoor risiedono solo nella RAM, quindi un antivirus che analizza solo i file non troverà nulla. Secondo FireEye sono possibili altri attacchi in futuro.

Fonte: FireEye
Link copiato negli appunti

Ti potrebbe interessare

05 05 2021
Link copiato negli appunti