Allerta HTTPSnoop e PipeSnoop: come funzionano questi nuovi malware?

Nella community degli esperti di sicurezza sta creando una certa apprensione la scoperta di due nuovi malware, noti come HTTPSnoop e PipeSnoop.

Questi sono, perlomeno allo stato attuale, impegnati prevalentemente nel contesto di attacchi verso servizi di telecomunicazione, soprattutto nel Medioriente.

Il primo, ovvero HTTPSnoop si interfaccia con i driver e i dispositivi del kernel HTTP di Windows per eseguire contenuti sull’endpoint infetto in base a URL HTTP(S) specifici. Nel secondo caso, con PipeSnoop, parliamo invece di un agente malevolo in grado di eseguire shellcode arbitrario.

Secondo un rapporto di Cisco Talos, i due malware appartengono allo stesso set di intrusione denominato ShroudedSnooper, ma perseguono obiettivi diversi in termini di livello di infiltrazione.

Entrambi gli agenti sono mascherati da componenti di sicurezza del prodotto Cortex XDR di Palo Alto Networks: una mimetizzazione che permette loro di eludere gli strumenti di rilevamento.

HTTPSnoop e PipeSnoop sono frutto dello stesso set di intrusione

HTTPSnoop utilizza API Windows per monitorare il traffico HTTP(S) su un dispositivo infetto per URL specifici. Una volta rilevato, il malware decodificherà i dati in arrivo con codifica Base64 da tali URL e li eseguirà come shellcode sull’host compromesso.

L’impianto, che si attiva sul sistema di destinazione tramite il dirottamento DLL, è costituito da due componenti: lo shellcode di fase 2 che imposta un server Web backdoor tramite chiamate al kernel.

Cisco ha individuato per la prima volta PipeSnoop nel maggio 2023. Questo malware lavora come una backdoor che esegue payload shellcode sugli endpoint violati tramite pipe Windows IPC (Inter-Process Communication).

Gli analisti notano che, contrariamente a HTTPSnoop, PipeSnoop è più adatto per operazioni all’interno di reti compromesse aziendali o comunque di alto livello. Cisco rileva inoltre che l’impianto necessita di un componente che fornisca lo shellcode, allo stato attuale non ancora individuato dagli esperti.

Il modus operandi di HTTPSnoop e PipeSnoop non dovrebbe sorprendere più di tanto: i fornitori di servizi di telecomunicazione diventano spesso obiettivi di autori di minacce sponsorizzati da vari governi a causa del loro ruolo cruciale nei contesti statali.