PDF Velenoso: COLDRIVER Sfrutta il Linguaggio Rust per Attacchi Mirati

Redazione RHC : 20 Gennaio 2024 08:52

Il gruppo di hacker criminali di COLDRIVER ha migliorato i suoi metodi e ha iniziato a distribuire il suo primo malware scritto nel linguaggio di programmazione Rust.

Lo ha riferito il gruppo di analisti delle minacce di Google TAG, che ha condiviso i dettagli sulle ultime attività degli hacker. Secondo gli esperti gli aggressori utilizzano i file PDF come esca per avviare il processo di infezione.

Gli aggressori utilizzano i documenti PDF come punto di partenza da novembre 2022 per invogliare gli obiettivi ad aprire i file. COLDRIVER presenta i documenti come un nuovo articolo che il mittente vuole pubblicare e chiede al destinatario della lettera di scrivere una recensione. Quando l’utente apre il PDF, vede il testo crittografato.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Se il destinatario risponde al messaggio affermando che non può leggere il documento, l’hacker risponde con un collegamento a un presunto strumento di decrittazione (“Proton-decrypter.exe”) ospitato sul cloud storage Proton Drive.

In realtà, il decrittatore è un backdoor chiamata SPICA , che fornisce a COLDRIVER l’accesso segreto al dispositivo visualizzando un documento falso per nascondere l’hacking e connettendosi al server C2 in background.

SPICA, che è il primo malware nativo sviluppato e utilizzato da COLDRIVER, utilizza JSON su WebSockets for Command and Control (C2), fornendo le seguenti funzionalità:

• esecuzione di comandi shell arbitrari;
• rubare cookie dai browser web;
• caricare e scaricare file;
• enumerazione ed esfiltrazione dei file;
• lanciare attività pianificate.

Nell’ambito dei loro sforzi per prevenire la campagna e ulteriori sfruttamenti, il team di Google TAG ha aggiunto tutti i siti Web, i domini e i file noti associati a COLDRIVER alle liste nere di Navigazione sicura di Google. 

Google ha affermato di non avere informazioni sul numero delle vittime di SPICA, ma sospetta che la backdoor sia stata utilizzata solo in “attacchi mirati molto limitati”. Ha aggiunto che l’attenzione era rivolta a funzionari di ONG di alto rango, ex funzionari dell’intelligence e militari e funzionari dal Dipartimento della Difesa e dai governi di diversi paesi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli