Un nuovo caricatore di malware in aumento.
Hp Threat Research ha rilasciato un nuovo rapporto che descrive in dettaglio un nuovo caricatore. I ricercatori hanno osservato nuove campagne di spam dannose dalla fine di aprile 2022, distribuzione di un malware precedentemente sconosciuto, chiamato SVCReady. Il caricatore è distribuito in modo non comune – tramite shellcode nascosto nelle proprietà dei documenti di Microsoft Office. Da quanto ha scoperto il team di ricerca sulle minacce, sembra che il malware sia ancora in fase di sviluppo, con diversi aggiornamenti fatti a maggio.
Uno sguardo al caricatore di malware SVCReady
Nella campagna analizzata, gli aggressori hanno inviato allegati .doc via e-mail. Questi documenti contengono Visual Basic, Applications Edition (VBA) Macro di AutoOpen necessarie per eseguire codice dannoso. Tuttavia, i documenti non utilizzano PowerShell o MSHTA per scaricare ulteriori payload dal Web. Piuttosto che, la macro VBA esegue lo shellcode memorizzato nelle proprietà del documento, che quindi rilascia ed esegue il malware SVCReady, il rapporto osserva.
Per quanto riguarda il malware stesso, è in grado di raccogliere informazioni di sistema, come nome utente, nome del computer, fuso orario, e se la macchina è unita a un dominio. Esegue anche query al Registro di sistema, in particolare il HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSistema chiave, per i dettagli sul produttore del computer, BIOS e firmware. Altri dettagli raccolti da SVCReady includono elenchi di processi in esecuzione e software installato. La raccolta delle informazioni viene eseguita tramite chiamate API di Windows anziché tramite l'interrogante di Strumentazione gestione Windows. Tutti i dettagli raccolti vengono formattati come JSON e inviati a il server C2 tramite una richiesta HTTP POST.
La comunicazione con il server di comando e controllo avviene tramite HTTP, ma i dati stessi sono crittografati tramite la cifratura RC4. È anche interessante notare che il malware tenta di ottenere la persistenza:
Dopo aver esfiltrato le informazioni sul PC infetto, il malware cerca di ottenere la persistenza nel sistema. Probabilmente gli autori del malware intendevano copiare la DLL del malware nella directory Roaming, assegnandogli un nome univoco basato su un UUID appena generato. Ma sembra che non siano riusciti a implementarlo correttamente perché rundll32.exe viene copiato nella directory Roaming anziché nella DLL SVCReady.
Fornito anche un malware di follow-up
Un altro malware viene distribuito come carico utile successivo all'infezione iniziale – il ladro di RedLine. “A quel tempo il formato di comunicazione C2 non era crittografato. Può darsi che questa campagna sia stata un test da parte degli operatori di SVCReady. Al momento della scrittura, da allora non abbiamo ancora ricevuto altri payload di malware,"Conclude il rapporto.
Altri esempi di caricatori di malware scoperti di recente includono Caricatore Chrome e Bombo.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: