PDF Velenoso: COLDRIVER Sfrutta il Linguaggio Rust per Attacchi Mirati

Redazione RHC : 20 Gennaio 2024 08:52

Il gruppo di hacker criminali di COLDRIVER ha migliorato i suoi metodi e ha iniziato a distribuire il suo primo malware scritto nel linguaggio di programmazione Rust.

Lo ha riferito il gruppo di analisti delle minacce di Google TAG, che ha condiviso i dettagli sulle ultime attività degli hacker. Secondo gli esperti gli aggressori utilizzano i file PDF come esca per avviare il processo di infezione.

Gli aggressori utilizzano i documenti PDF come punto di partenza da novembre 2022 per invogliare gli obiettivi ad aprire i file. COLDRIVER presenta i documenti come un nuovo articolo che il mittente vuole pubblicare e chiede al destinatario della lettera di scrivere una recensione. Quando l’utente apre il PDF, vede il testo crittografato.

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Se il destinatario risponde al messaggio affermando che non può leggere il documento, l’hacker risponde con un collegamento a un presunto strumento di decrittazione (“Proton-decrypter.exe”) ospitato sul cloud storage Proton Drive.

In realtà, il decrittatore è un backdoor chiamata SPICA , che fornisce a COLDRIVER l’accesso segreto al dispositivo visualizzando un documento falso per nascondere l’hacking e connettendosi al server C2 in background.

SPICA, che è il primo malware nativo sviluppato e utilizzato da COLDRIVER, utilizza JSON su WebSockets for Command and Control (C2), fornendo le seguenti funzionalità:

• esecuzione di comandi shell arbitrari;
• rubare cookie dai browser web;
• caricare e scaricare file;
• enumerazione ed esfiltrazione dei file;
• lanciare attività pianificate.

Nell’ambito dei loro sforzi per prevenire la campagna e ulteriori sfruttamenti, il team di Google TAG ha aggiunto tutti i siti Web, i domini e i file noti associati a COLDRIVER alle liste nere di Navigazione sicura di Google. 

Google ha affermato di non avere informazioni sul numero delle vittime di SPICA, ma sospetta che la backdoor sia stata utilizzata solo in “attacchi mirati molto limitati”. Ha aggiunto che l’attenzione era rivolta a funzionari di ONG di alto rango, ex funzionari dell’intelligence e militari e funzionari dal Dipartimento della Difesa e dai governi di diversi paesi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli