Allarme ATP AtlasCross: phishing e documenti Word per diffondere malware

Gli analisti di sicurezza informatica di NSFOCUS Security Labs hanno recentemente scoperto un processo di attacco informatico finora sconosciuto, basato su tecniche di phishing.

Stando alle ricerche effettuate, dietro questa campagna vi sarebbe un abile aggressore APT finora sconosciuto, denominato AtlasCross. Come se non bastasse, però, gli stessi hacker sarebbero responsabili anche di un’altra campagna in cui vengono utilizzati documenti Word appositamente manipolati per diffondere malware.

In entrambe le azioni criminali, sono impiegati due nuovi trojan identificati con i nomi di DangerAds e AtlasAgent.

Nel caso dei documenti Word,  AtlasCross ha utilizzato un documento esca, “Blood Drive September 2023.docm“, spacciando lo stesso per un file di donazioni di sangue della Croce Rossa degli Stati Uniti. All’apertura, richiede alle vittime di abilitare la modifica delle parole, che sblocca alcune macro dannose.

Fatto ciò, viene attivato il payload, viene creato il file KB4495667.pkg: nient’altro che il già citato DangerAds, un trojan che avvia la seconda fase di attacco.

DangerAds e AtlasAgent: i due malware di AtlasCross in azione

Il trojan caricatore carica in memoria un programma DLL x86 o x64 come payload finale, denominato AtlasAgent. Le funzioni principali di AtlasAgent spaziano dalla raccolta di dati dal dispositivo della vittima, all’esecuzione di shellcode fino al download di ulteriori agenti malevoli.

AtlasCross ha utilizzato diverse tattiche di attacco, dimostrando un certo focus anche sull’evasione dei rilevamenti e sulla persistenza. Di sicuro, anche se questo gruppo è nuovo della scena, è caratterizzato da hacker esperti.

Sebbene DangerAds e AtlasAgent siano malware nuovi, dunque ancora sotto la lente d’ingrandimento degli esperti di cybersecurity, esistono già alcune precauzioni efficaci per evitare questo tipo di infezioni.

Evitare il download e l’apertura di documenti sospetti, per esempio, rende molto più difficile l’operato dei cybercriminali. L’adozione di un ottimo antivirus, accompagnato da una complessiva prudenza da parte dell’utente, sono altri fattori che rendono la vita molto dura ad hacker e figure simili.