PDF Velenoso: COLDRIVER Sfrutta il Linguaggio Rust per Attacchi Mirati

Il gruppo di hacker criminali di COLDRIVER ha migliorato i suoi metodi e ha iniziato a distribuire il suo primo malware scritto nel linguaggio di programmazione Rust.

Lo ha riferito il gruppo di analisti delle minacce di Google TAG, che ha condiviso i dettagli sulle ultime attività degli hacker. Secondo gli esperti gli aggressori utilizzano i file PDF come esca per avviare il processo di infezione.

Gli aggressori utilizzano i documenti PDF come punto di partenza da novembre 2022 per invogliare gli obiettivi ad aprire i file. COLDRIVER presenta i documenti come un nuovo articolo che il mittente vuole pubblicare e chiede al destinatario della lettera di scrivere una recensione. Quando l’utente apre il PDF, vede il testo crittografato.

Se il destinatario risponde al messaggio affermando che non può leggere il documento, l’hacker risponde con un collegamento a un presunto strumento di decrittazione (“Proton-decrypter.exe”) ospitato sul cloud storage Proton Drive.

In realtà, il decrittatore è un backdoor chiamata SPICA , che fornisce a COLDRIVER l’accesso segreto al dispositivo visualizzando un documento falso per nascondere l’hacking e connettendosi al server C2 in background.

SPICA, che è il primo malware nativo sviluppato e utilizzato da COLDRIVER, utilizza JSON su WebSockets for Command and Control (C2), fornendo le seguenti funzionalità:

• esecuzione di comandi shell arbitrari;
• rubare cookie dai browser web;
• caricare e scaricare file;
• enumerazione ed esfiltrazione dei file;
• lanciare attività pianificate.

Nell’ambito dei loro sforzi per prevenire la campagna e ulteriori sfruttamenti, il team di Google TAG ha aggiunto tutti i siti Web, i domini e i file noti associati a COLDRIVER alle liste nere di Navigazione sicura di Google. 

Google ha affermato di non avere informazioni sul numero delle vittime di SPICA, ma sospetta che la backdoor sia stata utilizzata solo in “attacchi mirati molto limitati”. Ha aggiunto che l’attenzione era rivolta a funzionari di ONG di alto rango, ex funzionari dell’intelligence e militari e funzionari dal Dipartimento della Difesa e dai governi di diversi paesi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.