I ricercatori di Kaspersky hanno scoperto una nuova tecnica che permette di nascondere malware nei registri degli eventi di Windows. I cybercriminali hanno effettuato diversi attacchi utilizzando numerosi tool, inclusi quelli commerciali. La catena di infezione è piuttosto complessa, quindi è evidente che si tratta di campagne mirate con vittime di alto profilo.
Malware nel registro eventi di Windows
La prima fase dell’attacco prevede la distribuzione del modulo Cobal Strike attraverso un file RAR caricato su file.io. Viene quindi iniettato il codice infetto nei processi di Windows (ad esempio explorer.exe), copiato il gestore degli errori WerFault.exe in C:\Windows\Tasks e copiato il file wer.dll (Windows Error Reporting) nella stessa directory per sfruttare la tecnica nota come DLL Hijacking.
Il dropper crea inoltre una chiave di registro per l’esecuzione all’avvio di Windows e scrive uno shellcode nel registro degli eventi per Key Management Services (KMS). Questo codice, eseguito dal launcher wer.dll, avvia a sua volta un trojan che rappresenta lo stadio finale dell’infezione.
L’obiettivo dei cybercriminali è ovviamente raccogliere informazioni sensibili sul computer della vittima. Tutti i dati vengono quindi inviati a server C2 (command and control) in forma cifrata. È la prima volta che viene utilizzata questa tecnica, quindi gli esperti di Kaspersky non possono attribuire gli attacchi a gruppi di cybercriminali noti. Al malware è stato assegnato il nome SilentBreak.
Come detto, simili attacchi colpiscono unicamente target mirati. Ma dato che la prudenza non è mai troppa, gli utenti dovrebbero sempre utilizzare soluzioni di sicurezza affidabili, una delle quali è Kaspersky Total Security.
Ti potrebbe interessare
9 mag 2022