Attraverso la ricerca di Interlab e a un conseguente rapporto, è stato possibile individuare un nuovo trojan chiamato SuperBear.
Questo, diffuso attraverso un attacco di tipo phishing, sembra aver preso di mira gruppi e società della Corea del Sud, anche se non è possibile prevedere con certezza che il malware resti circoscritto al paese asiatico.
L’agente malevolo è stato individuato verso la fine di agosto, quando la potenziale vittima ha ricevuto un file LNK dannoso che avvia un comando PowerShell per eseguire uno script Visual Basic che, a sua volta, recupera i payload della fase successiva da un sito Web WordPress legittimo ma compromesso. Stiamo parlando del file Autoit3.exe (solmir.pdb) e dello script AutoIt (solmir_1.pdb).
Lo script AutoIt, da parte sua, utilizzando una tecnica di svuotamento del processo, in cui il codice dannoso viene inserito in un processo che è in uno stato sospeso.
Chi è l’autore del malware SuperBear? Gli esperti hanno dei sospetti ancora non confermati
In questo caso, viene generata un’istanza di Explorer.exe per iniettare il RAT vero e proprio, che stabilisce comunicazioni con un server remoto per estrarre dati, scaricare ed eseguire comandi shell aggiuntivi e librerie a collegamento dinamico (DDL) .
Secondo Ovi Liber di Interlab “L’azione predefinita per il server C2 sembra istruire i client a esfiltrare ed elaborare i dati di sistema“. Lo stesso ha poi aggiunto come “Il DLL dannoso tenterà di creare un nome di file casuale per esso, e se non riesce, lo nominerà SuperBear“.
L’autore dell’attacco non è al momento noto. Secondo alcuni specialisti, però, il tutto sarebbe riconducibile a un gruppo nordcoreano, ovvero Kimsuky (noto anche come APT43 o Emerald Sleet, Nickel Kimball e Velvet Chollima), viste le somiglianze con il vettore di attacco iniziale, i comandi PowerShell utilizzati e gli obiettivi finora presi di mira.