Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

SVCReady: un nuovo loader si sta perfezionando e sembra promettere bene

Redazione RHC : 9 Giugno 2022 08:53

Durante lo studio sugli attacchi di phishing, i ricercatori HP hanno scoperto un loader chiamato SVCReady precedentemente sconosciuto che presenta un modo insolito di scaricare malware su macchine compromesse, tramite documenti Word. 

Gli esperti scrivono che SVCReady utilizza le macro VBA per eseguire lo shellcode memorizzato nelle proprietà del documento e che i documenti stessi della vittima vengono generalmente ricevuti come allegati nelle e-mail.

Apparentemente, il malware è in fase di sviluppo, come è stato notato per la prima volta nell’aprile 2022 e a maggio l’autore del malware ha rilasciato diversi aggiornamenti contemporaneamente.


Distribuisci i nostri corsi di formazione diventando un nostro Affiliato

Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


La catena di infezione inizia con la vittima che riceve un’e-mail di phishing con un allegato .doc dannoso. Tuttavia, in questo caso, invece di utilizzare PowerShell o MSHTA per caricare il payload, viene utilizzato VBA per eseguire lo shellcode nascosto nelle proprietà del file.

I ricercatori osservano che separando macro e shellcode dannoso, gli aggressori stanno cercando di aggirare le soluzioni di sicurezza che di solito sono in grado di rilevare tali attacchi.

SVCReady inizia la sua attività nel sistema creando un profilo di sistema utilizzando query sul registro e chiamate API su Windows, quindi invia le informazioni raccolte al server di gestione (tramite una richiesta POST). La comunicazione con C&C è crittografata con la chiave RC4 e questa funzionalità è stata aggiunta a maggio durante uno dei recenti aggiornamenti del malware.

SVCReady effettua anche due query WMI sull’host per verificare se è in esecuzione su una macchina virtuale. Se la risposta è sì, il malware entra in modalità di sospensione per 30 minuti per evitare l’analisi.

Inoltre, l’autore di SVCReady ha cercato di implementare un meccanismo di blocco nel sistema (creando un’attività pianificata e una nuova chiave di registro), ma finora il malware non si avvia dopo un riavvio a causa di errori nel codice.

Superate le fasi preliminari dell’attacco, inizia la raccolta delle informazioni, inclusa la creazione di screenshot, l’estrazione di osinfo e l’invio dei dati raccolti al server di comando e controllo.

SVCReady si connette al server C&C ogni cinque minuti per segnalarne lo stato, ricevere nuovi lavori, trasferire informazioni rubate o controllare il dominio.

SVCReady attualmente supporta le seguenti funzionalità:

  • caricare il file sul client infetto;
  • fare uno screenshot;
  • eseguire il comando della shell;
  • controlla se è in esecuzione su una macchina virtuale;
  • raccogliere informazioni di sistema (raccolta dati rapida o “normale”);
  • controlla lo stato USB, ovvero scopri il numero di dispositivi collegati;
  • prendere piede nel sistema utilizzando un’attività pianificata;
  • eseguire file;
  • eseguire il file utilizzando RunPeNative in memoria.

Inoltre, SVCReady è in grado di ricevere payload aggiuntivi. Ad esempio, gli analisti HP hanno osservato come il 26 aprile 2022 SVCReady abbia distribuito un payload di malware Readline Stealer su un host infetto.

Gli esperti HP riferiscono che SVCReady ha una somiglianza con le campagne passate del gruppo di hacker TA551 (aka Hive0106 o Shatak). Compreso: immagini esca utilizzate in documenti dannosi, URL di risorse per la ricezione di payload e così via. 

In precedenza, questo gruppo utilizzava gli stessi domini per ospitare i payload Ursnif e IcedID.

“Forse questi sono solo artefatti lasciati da diversi aggressori che utilizzano gli stessi strumenti”, scrivono gli esperti. “Tuttavia, la nostra ricerca mostra che modelli simili e probabili generatori di documenti vengono utilizzati dagli operatori delle campagne TA551 e SVCReady”.

Come Red Hot Cyber stiamo cercando di portare alta l’attenzione al fenomeno delle botnet e dei dati raccolti da questi malware dai singoli dispositivi. Tali informazioni, vengono rivendute successivamente nei mercati underground, e sono spesso l’inizio di un attacco ai sistemi informatici in quanto forniscono credenziali di accessp o preziose informazioni per i criminali informatici. Se vuoi approfondire questo argomento, leggi gli articoli di Talking Cricket.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

E’ giallo sull’Attacco Informatico in Alto Adige. Sembra essere un disservizio del Power Center

E’ giallo relativamente al presunto attacco informatico avvenuto tra le notte del 23 e il 24 giugno in Alto Adige: dalle prime ore di martedì, infatti, si sono registrati problemi diffusi ...

Shock in Francia: i signori di BreachForums erano ventenni cittadini Francesi!

Clamoroso in Francia: smantellata una delle più grandi reti globali di cybercriminalità. Gli hacker di BreachForum erano… francesi. Le autorità francesi hanno sgominato una vasta...

Attacco zero-click su Notepad++. HackerHood ha provato l’exploit e funziona veramente con poco

È stata scoperta una pericolosa vulnerabilità nell’ultima versione del popolare editor di testo Notepad++ che consente a un aggressore di ottenere il controllo completo del ...

Studio legale Qilin & Associati: Il Ransomware assume Avvocati e lancia il “pacchetto intimidazione”

Gli sviluppatori del ransomware Qilin (da noi intervistati recentemente) hanno offerto ai loro partner l’aiuto e la consulenza di un team di avvocati, in modo da poter fare pressione sulle vitt...

200 dollari per l’Accesso ad una Azienda italiana! Mentre il Dark Web fa affari, tu sei pronto a difenderti?

Dopo il caso dei 568 endpoint di un’azienda italiana del settore macchinari industriali, un altro accesso compromesso relativo a una società italiana di ingegneria del software &...