Redazione RHC : 7 Gennaio 2023 16:05
Una nuova campagna malevola è stata individuata da K7 Security Labs. Anche se non è chiara l’attribuzione della minaccia, è plausibile che si tratti di hacker sponsorizzati dallo stato cinese.
I malintenzionati stanno abusando dello strumento di segnalazione degli errori Windows Problem Reporting (WerFault.exe) di Windows per caricare malware nella memoria di un sistema compromesso utilizzando una tecnica di sideload DLL.
Si chiama sideload DLL quella tecnica di creare DLL dannose con lo stesso nome di una legittima in modo che vengano caricate senza essere rilevata come modulo dannoso.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
L’uso di questo eseguibile di Windows è quello di infettare i dispositivi senza generare allarmi sul sistema violato avviando il malware tramite un eseguibile di Windows legittimo.
La campagna malware inizia con l’arrivo di un’e-mail con un allegato ISO.
Facendo doppio clic, l’ISO verrà montato come una unità contenente una copia legittima dell’eseguibile Windows WerFault.exe, un file DLL (‘faultrep.dll’), un file XLS (‘File.xls’) e un file di scelta rapida (“inventario e le nostre specialties.lnk”).
.jpg)
La vittima avvia la catena di infezione facendo clic sul file di scelta rapida, che utilizza “scriptrunner.exe” per eseguire WerFault.exe.
WerFault è lo strumento standard di segnalazione degli errori di Windows utilizzato in Windows 10 e 11, che consente al sistema di tracciare e segnalare errori relativi al sistema operativo o alle applicazioni.
Windows utilizza lo strumento per segnalare un errore e ricevere potenziali suggerimenti per la soluzione.
Gli strumenti antivirus comunemente si fidano di WerFault in quanto è un eseguibile Windows legittimo firmato da Microsoft, quindi avviarlo sul sistema di solito non attiva avvisi per avvisare la vittima.
Quando WerFault.exe viene avviato, utilizzerà un noto difetto di sideloading DLL per caricare la dannosa DLL “faultrep.dll” contenuta nell’ISO.
Normalmente, il file “faultrep.dll” è una DLL legittima di Microsoft nella cartella C:\Windows\System necessaria per il corretto funzionamento di WerFault. Tuttavia, la versione dannosa della DLL nell’ISO contiene codice aggiuntivo per lanciare il malware.
Il sideload della DLL richiede che una versione dannosa di una DLL si trovi nella stessa directory dell’eseguibile che la richiama. Quando viene avviato l’eseguibile, Windows gli darà la priorità rispetto alla sua DLL nativa purché abbia lo stesso nome.
Quando la DLL viene caricata in questo attacco, creerà due thread, uno che carica in memoria la DLL Pupy Remote Access Trojan (‘dll_pupyx64.dll’) e uno che apre il foglio di calcolo XLS incluso per fungere da esca.
.jpg)
Pupy RAT è un malware open source e pubblicamente disponibile scritto in Python che supporta il caricamento DLL per eludere il rilevamento oltre a moduli aggiuntivi che vengono scaricati in seguito.
Il malware consente agli autori delle minacce di ottenere pieno accesso ai dispositivi infetti, consentendo loro di eseguire comandi, rubare dati, installare ulteriore malware o diffondersi lateralmente attraverso una rete.
Come strumento open source, è stato utilizzato da diversi attori di spionaggio sostenuti dallo stato come i gruppi iraniani APT33 e APT35, poiché tali strumenti rendono più difficile tracciare l’attribuzione e le operazioni di persistenza in rete.
RedazioneGli aggressori hanno iniziato a utilizzare un trucco insolito per mascherare i link di phishing, facendoli apparire come indirizzi di Booking.com. La nuova campagna malware utilizza il carattere hirag...
Una falla di sicurezza critica è stata resa pubblica da Cisco nel suo software Secure Firewall Management Center (FMC), permettendo potenzialmente a malintenzionati non autenticati di eseguire, a...
