Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Campagna di Phishing ai danni del Ministero degli Affari Esteri e della Cooperazione Internazionale  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  TelegraMalware : Scoperti Oltre 1000 Bot per Intercettare Codici SMS e Notifiche  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Gli EDR/AV vanno Offline con Killer Ultra! Il malware degli operatori ransomware di Qilin  ///    Scropri i corsi di Red Hot Cyber    ///  Esce Dark Mirror. Il Primo Report di Dark Lab sul Fenomeno Ransomware relativo ad H1 2024  ///    Iscriviti al nostro canale Whatsapp    ///  Massiccia Violazione dei Dati Disney: 1,1 TiB di Informazioni Compromesse  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Hai bisogno di una identità falsa? I Truffatori Professionisti usano Fotodropy Store!  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Muri Digitali: Kaspersy Lab Chiude gli Uffici negli Stati Uniti D’America!  ///    Scropri i corsi di Red Hot Cyber    ///  The Hackers Choice (THC): 30 anni di hacking senza voler diventare ricchi! L’intervista a VH e Skyper  ///    Iscriviti al nostro canale Whatsapp    ///  La Psicologia dietro gli Attacchi Informatici! il ruolo fondamentale delle emozioni dalle quali difenderci  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Rockstar Games possibile vittima di un Enorme Data Leak!  ///  
Crowdstrike
Crowdstrike

SVCReady: un nuovo loader si sta perfezionando e sembra promettere bene

Redazione RHC : 9 Giugno 2022 08:53

Durante lo studio sugli attacchi di phishing, i ricercatori HP hanno scoperto un loader chiamato SVCReady precedentemente sconosciuto che presenta un modo insolito di scaricare malware su macchine compromesse, tramite documenti Word. 

Gli esperti scrivono che SVCReady utilizza le macro VBA per eseguire lo shellcode memorizzato nelle proprietà del documento e che i documenti stessi della vittima vengono generalmente ricevuti come allegati nelle e-mail.

Apparentemente, il malware è in fase di sviluppo, come è stato notato per la prima volta nell’aprile 2022 e a maggio l’autore del malware ha rilasciato diversi aggiornamenti contemporaneamente.

La catena di infezione inizia con la vittima che riceve un’e-mail di phishing con un allegato .doc dannoso. Tuttavia, in questo caso, invece di utilizzare PowerShell o MSHTA per caricare il payload, viene utilizzato VBA per eseguire lo shellcode nascosto nelle proprietà del file.

I ricercatori osservano che separando macro e shellcode dannoso, gli aggressori stanno cercando di aggirare le soluzioni di sicurezza che di solito sono in grado di rilevare tali attacchi.

SVCReady inizia la sua attività nel sistema creando un profilo di sistema utilizzando query sul registro e chiamate API su Windows, quindi invia le informazioni raccolte al server di gestione (tramite una richiesta POST). La comunicazione con C&C è crittografata con la chiave RC4 e questa funzionalità è stata aggiunta a maggio durante uno dei recenti aggiornamenti del malware.

SVCReady effettua anche due query WMI sull’host per verificare se è in esecuzione su una macchina virtuale. Se la risposta è sì, il malware entra in modalità di sospensione per 30 minuti per evitare l’analisi.

Inoltre, l’autore di SVCReady ha cercato di implementare un meccanismo di blocco nel sistema (creando un’attività pianificata e una nuova chiave di registro), ma finora il malware non si avvia dopo un riavvio a causa di errori nel codice.

Superate le fasi preliminari dell’attacco, inizia la raccolta delle informazioni, inclusa la creazione di screenshot, l’estrazione di osinfo e l’invio dei dati raccolti al server di comando e controllo.

SVCReady si connette al server C&C ogni cinque minuti per segnalarne lo stato, ricevere nuovi lavori, trasferire informazioni rubate o controllare il dominio.

SVCReady attualmente supporta le seguenti funzionalità:

  • caricare il file sul client infetto;
  • fare uno screenshot;
  • eseguire il comando della shell;
  • controlla se è in esecuzione su una macchina virtuale;
  • raccogliere informazioni di sistema (raccolta dati rapida o “normale”);
  • controlla lo stato USB, ovvero scopri il numero di dispositivi collegati;
  • prendere piede nel sistema utilizzando un’attività pianificata;
  • eseguire file;
  • eseguire il file utilizzando RunPeNative in memoria.

Inoltre, SVCReady è in grado di ricevere payload aggiuntivi. Ad esempio, gli analisti HP hanno osservato come il 26 aprile 2022 SVCReady abbia distribuito un payload di malware Readline Stealer su un host infetto.

Gli esperti HP riferiscono che SVCReady ha una somiglianza con le campagne passate del gruppo di hacker TA551 (aka Hive0106 o Shatak). Compreso: immagini esca utilizzate in documenti dannosi, URL di risorse per la ricezione di payload e così via. 

In precedenza, questo gruppo utilizzava gli stessi domini per ospitare i payload Ursnif e IcedID.

“Forse questi sono solo artefatti lasciati da diversi aggressori che utilizzano gli stessi strumenti”, scrivono gli esperti. “Tuttavia, la nostra ricerca mostra che modelli simili e probabili generatori di documenti vengono utilizzati dagli operatori delle campagne TA551 e SVCReady”.

Come Red Hot Cyber stiamo cercando di portare alta l’attenzione al fenomeno delle botnet e dei dati raccolti da questi malware dai singoli dispositivi. Tali informazioni, vengono rivendute successivamente nei mercati underground, e sono spesso l’inizio di un attacco ai sistemi informatici in quanto forniscono credenziali di accessp o preziose informazioni per i criminali informatici. Se vuoi approfondire questo argomento, leggi gli articoli di Talking Cricket.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.