I ricercatori di sicurezza di Fortinet hanno rilevato di recente un nuovo malware multi-stage che ha come obiettivo principale i sistemi Windows. La campagna, scoperta lo scorso mese di agosto, adotta una serie di tattiche dannose in grado di compromettere i computer delle vittime in diversi modi.
Secondo un post tecnico sul blog pubblicato lunedì dall’esperta di sicurezza Fortinet Cara Lin, l’attacco inizia con un’e-mail di phishing, recapitando un documento Word come allegato.
Questo file contiene un’immagine ingannevole e un reCAPTCHA contraffatto per indurre i destinatari a cliccare su di esso. Una volta attivato, il documento attiva un collegamento dannoso incorporato, ponendo le basi per la progressione dell’attacco.
Il loader iniziale, scaricato da un URL specifico, implementa una strategia di evasione del riempimento binario, aumentando la dimensione del file a 400 MB. Quindi scatena una serie di payload, tra cui OriginBotnet per il keylogging e il recupero della password, RedLine Clipper per il furto di criptovaluta e AgentTesla per la raccolta di informazioni sensibili.
Un documento Word e un falso reCAPTCHA possono dare il via a un effetto domino
Lin ha spiegato che ogni fase dell’attacco è meticolosamente orchestrata per mantenere la persistenza ed eludere il rilevamento. Il malware utilizza tecniche di crittografia e decrittografia, adottando la codifica Base64 e gli algoritmi AES-CBC e AES-ECB per nascondere le proprie attività.
RedLine Clipper, uno dei componenti dannosi, è specializzato nel rubare criptovaluta modificando gli appunti di sistema dell’utente per sostituire gli indirizzi del wallet con indirizzi appartenenti all’aggressore. Questa tattica prende di mira gli utenti che copiano e incollano gli indirizzi dei wallet durante le transazioni, con il risultato che i fondi vengono dirottati verso all’aggressore.
AgentTesla, un’altra variante del malware, è progettato per registrare le sequenze di tasti premuti dalla vittima, accedere agli appunti ed eseguire la scansione delle unità alla ricerca di dati preziosi, il tutto interagendo con un server di comando e controllo (C2).
OriginBotnet, il terzo componente, raccoglie dati sensibili e contatta il suo server C2, scaricando file aggiuntivi per il keylogging e il recupero della password. Utilizza tecniche di crittografia per offuscare il traffico.
Le organizzazioni sono esortate a rimanere vigili, rafforzare le proprie difese di sicurezza informatica e istruire i dipendenti sui pericoli delle e-mail di phishing per mitigare efficacemente il rischio.