I ricercatori di ESET hanno individuato una sofisticata backdoor, denominata Deadglyph, utilizzata dal gruppo Stealth Falcon per colpire alcune agenzie governative del Medio Oriente. Il malware è composto da vari moduli scritti con diversi linguaggi di programmazione per ostacolare l’analisi del codice.
Deadglyph: attacchi omoglifi
Stealth Falcon è un gruppo di cybercriminali, legati agli Emirati Arabi Uniti, che effettua attacchi contro giornalisti, attivisti e dissidenti a scopo di spionaggio. Gli esperti di ESET hanno identificato alcuni componenti della backdoor. L’unico scritto su disco, sotto forma di DLL, è il registry shellcode loader (pbrtl.dll) che carica lo shellcode dal registro di Windows.
Per evitare la sua rilevazione è stato usato un attacco omoglifo nella risorsa VERSIONINFO, usando caratteri greci e cirillici per mimare il nome Microsoft Corporation, quindi i caratteri sembrano identici a quelli originali. Lo shellcode carica in memoria la backdoor Deadglyph composta da due parti. Executor, scritta in linguaggio nativo x64, carica la configurazione iniziale e Orchestrator, scritta in assembly .NET.
Orchestrator è il componente principale della backdoor. Effettua la comunicazione con il server C2 (command and control) ed esegue i comandi. Se questo modulo rileva processi indesiderati (ad esempio quelli degli antivirus) o non riesce ad effettuare la connessione al server C2 entro un certo intervallo di tempo, la backdoor attiva l’auto-cancellazione.
Le funzionalità di backdoor non sono presenti nel codice, ma in moduli aggiuntivi scaricati dal server C2. Secondo ESET sono almeno 14 in totale. Quelli individuati sono tre e permettono di raccogliere informazioni sul computer, creare processi e accedere ai file. Purtroppo non è noto come avviene l’infezione iniziale, quindi non è possibile applicare nessuna strategia difensiva.
Ti potrebbe interessare
26 set 2023