Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Capita spesso: ricevi un invito a una riunione online, clicchi senza pensarci troppo e tutto sembra normale. Negli ultimi giorni, però, i ricercatori hanno osservato una campagna che sfrutta proprio questa abitudine quotidiana per installare software di monitoraggio su computer Windows.
L’analisi tecnica mostra che l’operazione non si limita più a imitare un solo servizio.
Dopo i primi casi legati a Zoom, la stessa strategia è stata adattata anche a un ambiente che ricorda Google Meet, con infrastrutture e domini differenti ma lo stesso obiettivo finale.
All’inizio l’attenzione era concentrata su un dominio che simulava un ambiente di riunione Zoom. Quel sito è stato segnalato al registrar e successivamente sospeso, ma il monitoraggio ha rivelato che l’attività non si è fermata.
È comparsa una variante parallela che riproduce un contesto simile a Google Meet e distribuisce lo stesso identico installer. L’interfaccia mostrata agli utenti finge persino una pagina del Microsoft Store dedicata alle riunioni, mentre il file MSI viene scaricato in background attraverso uno script.
Un dettaglio curioso emerso durante le verifiche: il file distribuito nei due scenari è identico byte per byte, con lo stesso hash MD5 AD0A22E393E9289DEAC0D8D95D8118B5. Cambia soltanto il nome del file che accompagna il download.
Uno degli aspetti più interessanti riguarda il modo in cui il programma configura se stesso. Durante l’installazione, un’azione personalizzata legge il nome del file MSI e ne estrae un identificatore specifico che sostituisce il valore predefinito.
Il meccanismo utilizza la proprietà TMINSTANCE e può cambiare semplicemente rinominando il file, rendendo possibile usare lo stesso pacchetto per account differenti. In pratica, un singolo binario può servire molte identità operative.
Nel corso dei test controllati in una macchina virtuale Windows 10, l’installer ha mostrato anche un controllo preliminare di connessione verso il server rt.teramind.co. Se questo contatto non riesce, l’installazione si interrompe con errore 1603.
Poco dopo, una volta completata la procedura, l’agente entra in modalità stealth. Questo significa che non appare nella barra delle applicazioni, né nel system tray e neppure nell’elenco dei programmi installati. L’analisi ha inoltre rivelato la presenza di due servizi persistenti. Uno si chiama tsvchst e imita il naming tipico dei processi di sistema, mentre l’altro è pmon con la descrizione Performance Monitor. Entrambi operano con privilegi LocalSystem e sono configurati per riavviarsi automaticamente in caso di arresto.
Subito dopo l’avvio, il sistema inizia a interrogare il dominio indicato per stabilire la comunicazione. Nei test osservati, le richieste DNS verso rt.teramind.co comparivano a intervalli di circa undici secondi. Verso la fine della ricerca, il team che ha condotto l’indagine tecnica di Malwarebytes ha pubblicato i risultati completi nel proprio report disponibile qui:
Per la community di Red Hot Cyber questa vicenda è un promemoria sempre più concreto: non sempre le minacce arrivano sotto forma di malware sconosciuto. A volte il vero problema nasce dall’abuso di strumenti legittimi, distribuiti con inganno e inseriti in un contesto che sembra credibile. Ed è proprio lì che la cultura della sicurezza informatica, della verifica – anche su un semplice link di meeting – diventa una difesa più reale, soprattutto dove l’automatizzazione fallisce.
