Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Certe intrusioni iniziano in modo banale.
Una valanga di email inutili, decine… centinaia. Il tipo di caos che ti fa pensare a un semplice spam fuori controllo.
Poi arriva il messaggio su Teams.
Qualcuno che si presenta come supporto IT e dice di voler aiutare a risolvere il problema.
A quel punto molti abbassano la guardia. Perchè? Abitudine e confidenza.
Il meccanismo osservato dai ricercatori è abbastanza subdolo ma che già abbiamo incontrato altre volte. Prima viene l'”email bombing”: la casella della vittima viene sommersa da messaggi indesiderati. Una tempesta di notifiche che rende difficile capire cosa stia davvero succedendo.
Subito dopo qualcuno contatta l’utente su Microsoft Teams fingendosi personale tecnico. Dice di aver notato attività anomala e propone assistenza.
Sembra plausibile in effetti e molte persone che in questa fase accettano.
A quel punto arriva la richiesta: aprire Quick Assist, lo strumento di supporto remoto integrato in Windows. Basta concedere l’accesso e il gioco è fatto.
Una volta dentro il dispositivo, gli attaccanti provano a mantenere il controllo installando il proprio software. In alcune indagini, gli strumenti utilizzati erano distribuiti tramite pacchetti MSI firmati digitalmente.
Alcuni di questi pacchetti risultavano ospitati su storage cloud Microsoft collegati a account personali, distribuiti tramite link con token. Non proprio semplice da recuperare a posteriori durante un’indagine.
Dentro i pacchetti, gli analisti hanno trovato programmi camuffati da componenti Microsoft come Microsoft Teams o CrossDeviceService. I file venivano installati in directory locali che imitano quelle usate normalmente da software legittimi.
Uno degli elementi più curiosi riguarda una DLL chiamata hostfxr.dll.
Normalmente questo file è un componente .NET firmato da Microsoft. Qui invece compare una versione modificata firmata con un certificato differente.
Il suo compito?
Semplice: decrittare un payload nascosto nella sezione dati del file e caricarlo in memoria per l’esecuzione. Durante l’analisi, i ricercatori hanno notato anche numerose chiamate alla funzione CreateThread, probabilmente pensate per rendere più complicato il lavoro dei debugger.
Il codice decrittato porta poi a una backdoor che i ricercatori hanno chiamato A0Backdoor.
Questo malware utilizza tecniche di cifratura runtime per nascondere la propria logica interna. Inoltre crea un mutex per evitare l’esecuzione simultanea di più istanze e utilizza informazioni di sistema per identificare il dispositivo compromesso.
Per comunicare con l’infrastruttura degli attaccanti, la backdoor sfrutta una forma di tunneling DNS basata su record MX. In pratica il traffico sembra diretto verso resolver pubblici, mentre i comandi vengono codificati nei nomi di dominio.
La ricerca completa è stata pubblicata da BlueVoyant, che collega questa attività a un cluster noto come Blitz Brigantine, già associato a campagne di ingegneria sociale simili.
Per la community di Red Hot Cyber la vicenda ricorda una cosa che molto spesso si tende a dimenticare: l’anello più fragile resta sempre l’interazione umana. Gli attaccanti non hanno dovuto sfruttare una vulnerabilità complessa. E’ solo bastato convincere qualcuno a concedere l’accesso remoto.
Ed è proprio qui che formazione, procedure e cultura di sicurezza fanno davvero la differenza.
