LODEINFO: sofisticato malware per cyberspionaggio

LODEINFO: sofisticato malware per cyberspionaggio

LODEINFO è un sofisticato tool per il cyberspionaggio che un gruppo cinese distribuisce tramite diversi metodi per evitare la sua rilevazione.
LODEINFO è un sofisticato tool per il cyberspionaggio che un gruppo cinese distribuisce tramite diversi metodi per evitare la sua rilevazione.

I ricercatori di Kaspersky hanno scoperto nuovi metodi usati dal gruppo cinese Cicada (APT10) per distribuire il malware LODEINFO. Si tratta di una backdoor che permette di infettare i computer delle vittime e raccogliere numerose informazioni a scopo di cyberspionaggio. Una delle tecniche sfrutta un noto antivirus per evitare la rilevazione.

LODEINFO: nuovi metodi di infezione

Durante un’indagine, gli esperti di Kaspersky hanno scoperto che la backdoor è stata distribuita tramite un documento Word allegato ad un’email di spear phishing. Se l’ignara vittima attiva la macro VBA, il malware copia un file ZIP sul computer. Al suo interno ci sono un eseguibile firmato e una DLL del software K7Security Suite. La DLL è il loader di LODEINFO.

Un altro metodo prevede l’invio di un’email con un archivio RAR autoestraente (SFX). Al suo interno ci sono un eseguibile e una DLL di K7Security Suite, oltre ad un documento Word. Quest’ultimo viene mostrato sullo schermo, mentre l’eseguibile carica in memoria la DLL, ovvero la backdoor. La tecnica, nota come DLL side-loading, permette spesso di aggirare la rilevazione.

Un metodo più recente prevede invece la distribuzione di LODEINFO tramite il downloader shellcode DOWNIISSA, eseguito dalla macro VBA presente nel documento Word. In questo caso viene sfruttata l’iniezione del codice nel processo WINWORD.EXE. L’ultima versione della backdoor (0.6.7) è stata rilevata a settembre. I cybercriminali hanno utilizzato questo potente tool di cyberspionaggio contro varie organizzazioni giapponesi. Fortunatamente viene rilevato dalle soluzioni di sicurezza di Kaspersky.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Kaspersky
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 2 nov 2022
Link copiato negli appunti