Dragon Breath: DLL sideloading al quadrato

Dragon Breath: DLL sideloading al quadrato

Gli esperti di Sophos hanno scoperto vari attacchi che sfruttano una versione avanzata della tecnica DLL sideloading per aggirare le protezioni.
Dragon Breath: DLL sideloading al quadrato
Gli esperti di Sophos hanno scoperto vari attacchi che sfruttano una versione avanzata della tecnica DLL sideloading per aggirare le protezioni.

I ricercatori di Sophos hanno individuato diversi attacchi effettuati con una versione evoluta della tecnica DLL sideloading. Invece di una singola DLL, i cybercriminali del gruppo Dragon Breath (noto anche come Golden Eye Dog o APT-Q-27) usano due DLL per cercare di aggirare le protezioni di Windows e delle soluzioni di sicurezza. La maggioranza degli utenti colpiti si trova in Asia, ma questo metodo può essere facilmente esteso ad altri paesi.

Double DLL sideloading

Windows conserva le DLL nella directory System32. Ma quando viene eseguito un file, il sistema operativo carica in memoria la DLL infetta (con lo stesso nome dell’originale) che si trova nella directory dell’eseguibile. La tecnica è nota come DLL sideloading. Il gruppo Dragon Breath ha sfruttato una versione avanzata che può essere denominata double DLL sideloading.

La catena di infezione inizia con il download di una versione fasulla di Telegram per Windows, iOS o Android da un sito pubblicizzato tramite phishing o SEO poisoning. L’installer crea un scorciatoia sul desktop che non punta all’eseguibile di Telegram, ma ad una versione rinominata e legittima di regsvr32.exe che esegue una versione rinominata e legittima di scrobj.dll. Come input viene fornito il file appR.dat che contiene codice JavaScript.

Quest’ultimo avvia l’interfaccia desktop di Telegram e, contemporaneamente, copia altri componenti sul computer, tra cui una versione infetta di BASICNETUTILS.dll che carica il payload finale dal contenuto del file templateX.txt, ovvero ServerDLL.dll, una backdoor che può eseguire diverse attività, come il furto delle criptovalute dall’estensione MetaMask per Chrome.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Fonte: Sophos
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 4 mag 2023
Link copiato negli appunti