MediaPI è la nuova backdoor dei cybercriminali iraniani

MediaPI è la nuova backdoor dei cybercriminali iraniani

Microsoft ha rilevato attacchi di phishing effettuati dal gruppo Mint Sandstorm per installare la backdoor MediaPI e rubare dati sensibili.
MediaPI è la nuova backdoor dei cybercriminali iraniani
Microsoft ha rilevato attacchi di phishing effettuati dal gruppo Mint Sandstorm per installare la backdoor MediaPI e rubare dati sensibili.

A partire da novembre 2023, Microsoft ha rilevato attacchi effettuati da alcuni membri del gruppo Mint Sandstorm contro giornalisti, ricercatori e professori universitari che si occupano di questioni relative al Medio Oriente. Sfruttando tecniche di social engineering e phishing, i cybercriminali iraniani hanno installato la backdoor MediaPI per raccogliere dati sensibili.

Tattiche, tecniche e procedure

I cybercriminali di Mint Sandstorm sono legati al Corpo delle guardie della rivoluzione islamica, quindi sono finanziati dalla Repubblica islamica dell’Iran per attività di spionaggio. Per la campagna di phishing scoperta da Microsoft hanno usato account email compromessi o che sembrano appartenere a giornalisti interessati alla guerra tra Hamas e Israele.

Sfruttando quindi le tecniche di social engineering hanno guadagnato la fiducia delle vittime, chiedendo successivamente il parere su un articolo. Quest’ultimo è inserito in un archivio RAR che può essere scaricato cliccando sul link presente nell’email. All’interno c’è invece un file con doppia estensione (pdf.lnk) che, quando eseguito, scarica diversi file VBS infetti.

Uno di essi stabilisce la persistenza (esecuzione automatica all’avvio) tramite un’attività pianificata o una chiave di registro. Dopo aver raccolto diversi dati dal computer, i cybercriminali installano la backdoor MediaPI, mascherata come Windows Media Player, che si collega al server C2 (command and control). In alternativa viene installata la backdoor MischiefTut implementata in PowerShell.

I cybercriminali possono così accedere al computer da remoto ed eseguire varie attività. Microsoft consiglia di usare la funzionalità Defender SmartScreen e attivare la protezione cloud di Defender Antivirus.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 22 gen 2024
Link copiato negli appunti