Uiguri presi di mira da una campagna di phishing.



Il marchio delle Nazioni Unite (ONU) è stato utilizzato per una campagna di phishing progettata per spiare il popolo degli uiguri.


Giovedì, Check Point Research (CPR) e il team GReAT di Kaspersky (due aziende che si occupano di sicurezza informatica e di intelligence delle minacce) hanno affermato che la campagna, probabilmente opera di un gruppo cinese, è incentrata sul colpire gli uiguri, una minoranza etnica turca che si trova nello Xinjiang, in Cina.



Alle potenziali vittime vengono inviati documenti tramite mail di phishing contrassegnati dal logo del Consiglio per i diritti umani delle Nazioni Unite (UNHRC). Denominato UgyhurApplicationList.docx, questo documento contiene materiale di richiamo relativo alle discussioni sulle violazioni dei diritti umani.

Contenuto del file UgyhurApplicationList.docx

Tuttavia, se la vittima abilita la modifica all'apertura del file, il codice macro VBA controlla il PC e scarica un payload da 32 o 64. bit.


Soprannominato "OfficeUpdate.exe", il file è uno shellcode che recupera e carica un payload remoto. Tuttavia, i domini collegati all'allegato e-mail hanno ampliato ulteriormente l'indagine ad un sito Web utilizzato per la consegnare il malware con il pretesto di una falsa organizzazione per i diritti umani.


Il dominio "Turkic Culture and Heritage Foundation" (TCAHF) afferma di lavorare per "Tukric culture and human rights", ma è un sito fake clonato da opensocietyfoundations.org, una società legittima per i diritti civili.



Questo sito web, diretto agli uiguri in cerca di finanziamenti, cerca di indurre i visitatori a scaricare uno "scanner di sicurezza" prima di presentare le informazioni richieste per richiedere una sovvenzione. Tuttavia, il software è in realtà una backdoor.


Il sito web offriva una versione per macOS e Windows, ma solo il collegamento a quest'ultima scaricava il malware.


Sono state trovate due versioni della backdoor; WebAssistante e TcahfUpdate. Le backdoor stabiliscono la persistenza sui sistemi delle vittime, conducono spionaggio informatico e furto di dati e possono essere utilizzate per eseguire payload aggiuntivi.


Le vittime sono state localizzate in Cina e Pakistan in regioni per lo più popolate da uiguri.


CPR e Kasperksy affermano che mentre il gruppo non sembra condividere alcuna infrastruttura con altri gruppi di minacce conosciute, molto probabilmente parlano cinese e sono ancora attivi, con nuovi domini registrati quest'anno allo stesso indirizzo IP collegati ad attacchi passati.



"Entrambi i domini reindirizzano al sito web di un ente governativo malese chiamato Terengganu Islamic Foundation"

Hanno detto i ricercatori. "Ciò suggerisce che gli aggressori stiano perseguendo obiettivi aggiuntivi in ​​paesi come la Malesia e la Turchia, anche se potrebbero ancora sviluppare quelle risorse poiché non abbiamo ancora visto artefatti dannosi associati a quei domini".