Scoperto il ransomware Slopoly. Un’altro malware creato con l’intelligenza artificiale

I ricercatori di IBM X-Force hanno scoperto un nuovo malware, chiamato Slopoly, che sembra essere stato creato utilizzando l’intelligenza artificiale generativa. Il malware è stato utilizzato in un attacco tramite il ransomware Interlock e ha permesso agli aggressori di rimanere nel sistema compromesso per oltre una settimana e di rubare dati.

Secondo gli esperti, l’attacco è iniziato con tecniche di ingegneria sociale e ClickFix, e in seguito gli hacker hanno installato la backdoor Slopoly, uno script PowerShell che funge da client per un framework C2, sul sistema della vittima.

Gli esperti hanno esaminato questo script e hanno trovato chiari indizi che fosse stato scritto utilizzando un modello linguistico esteso (LLM): commenti dettagliati nel codice, registrazione strutturata, gestione degli errori appropriata e nomi di variabili chiari. Questo è altamente insolito per un malware scritto da un essere umano.

I ricercatori hanno collegato l’attacco al gruppo Hive0163, motivato da interessi economici e specializzato in estorsioni, furti di dati su larga scala e ransomware.

Gli analisti notano, tuttavia, che Slopoly non è un malware tecnicamente avanzato. Sebbene i commenti dello script lo descrivano come un “Client di persistenza C2 polimorfico”, i ricercatori non hanno riscontrato alcuna capacità polimorfica: lo script non è in grado di modificare il proprio codice durante l’esecuzione. Tuttavia, il generatore di Slopoly può creare nuove istanze con valori di configurazione e nomi di funzioni casuali.

Il malware si nasconde in C:ProgramDataMicrosoftWindowsRuntime e può raccogliere informazioni di sistema, inviare richieste heartbeat al server di comando e controllo ogni 30 secondi, interrogare il server per ricevere comandi ogni 50 secondi, eseguire i comandi ricevuti tramite cmd.exe e inviare i risultati ai suoi operatori. Il malware persiste nel sistema utilizzando un’attività pianificata denominata “Runtime Broker”.

I comandi supportati dal malware includono il download e l’esecuzione di payload EXE, DLL e JavaScript, l’esecuzione di comandi shell, la modifica dell’intervallo tra le richieste, l’aggiornamento di se stesso e la terminazione del proprio processo.

Oltre a Slopoly, l’attacco scoperto ha utilizzato anche le backdoor NodeSnake e InterlockRAT. Il ransomware Interlock stesso è stato distribuito tramite il downloader JunkFiction come file Windows a 64 bit, eseguibile come attività pianificata con privilegi di sistema. Il malware utilizza l’API di Gestione riavvio di Windows per sbloccare i file occupati e aggiunge le estensioni .!NT3RLOCK o .int3R1Ock ai file crittografati.

Il gruppo Interlock è emerso nel 2024 ed è stato uno dei primi a utilizzare gli attacchi ClickFix , così come la loro variante FileFix.

Secondo i ricercatori, Hive0163 potrebbe essere collegato agli sviluppatori dei malware Broomstick, SocksShell, PortStarter e SystemBC, nonché agli operatori del ransomware Rhysida.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.