Microsoft ha individuato un nuovo gruppo di cybercriminali, denominato Moonstone Sleet, che usa diverse tecniche per effettuare attacchi contro le aziende a scopo finanziario o di cyberspionaggio. I membri sono nordcoreani, utilizzano versioni infette di tool legittimi, distribuiscono il ransomware FakePenny e chiedono riscatti milionari.
Tecniche usate da Moonstone Sleet
Inizialmente Moonstone Sleet usava il codice sviluppato da un altro gruppo nordcoreano (Diamond Sleet). Successivamente ha creato la propria infrastruttura per effettuare attacchi con tecniche differenti. I principali bersagli sono le software house e le aziende del settore aerospaziale, principalmente quelle che collaborano con i governi occidentali.
Durante uno degli attacchi, i cybercriminali hanno utilizzato una versione infetta di PuTTY. Le ignare vittime vengono contattate tramite app di messaggistica o piattaforme per sviluppatori freelance. Nell’archivio ZIP inviato ci sono l’eseguibile putty.exe e un file di testo (url.txt) con l’indirizzo IP e la password da usare nel tool.
Dopo l’inserimento dei dati forniti, la versione infetta di PuTTY esegue SplitLoader. Lo stesso malware viene distribuito attraverso pacchetti npm per rubare le credenziali di Windows. Più recentemente è stato usato un gioco infetto (DeTankWar) che, all’avvio, esegue il malware YouieLoad sfruttato per effettuare la scansione della rete e rubare dati dal browser.
L’attacco più recente è quello di aprile 2024. I cybercriminali installano il ransomware FakePenny sui computer delle aziende. Dopo aver cifrato i file, il malware copia su disco un documento di testo con le istruzioni da seguire per pagare il riscatto. La somma è 100 Bitcoin, ovvero circa 6,4 milioni di euro al valore attuale.
Ti potrebbe interessare
30 mag 2024