Attraverso il lavoro di ricerca portato avanti da Uptycs è stato possibile individuare una campagna malware che vede come protagonista Quasar RAT.
Questo particolare agente malevolo, a quanto pare, agisce sfruttando il side-loading delle DLL per non farsi individuare dagli strumenti di sicurezza informatica, riuscendo a compromettere sistemi Windows.
Secondo Tejaswini Sandapolla e Karthickkumar Kathiresan di Uptycs “Questa tecnica sfrutta la fiducia intrinseca che questi file suscitano nell’ambiente Windows“. Il malware in questione, conosciuto anche con i nomi CinaRAT o Yggdrasil, è uno strumento di gestione remota basato su C# in grado di interagire con i sistemi compromessi in diversi modi come:
- rubando informazioni del sistema;
- registrando le sequenze di tasti digitati dalla vittima;
- inviando all’aggressore l’elenco delle applicazioni in esecuzione;
- ottenendo screenshot di ciò che avviene sul desktop del dispsitivo;
- eseguendo vari comandi shell.
Come funziona Quasar RAT e perché preoccupa gli esperti?
La tecnica nota come side-loading delle DLL è molto diffusa nell’ambiente del cybercrimine.
Con Quasar RAT, così come con altri malware, questa prevede di eseguire payload attraverso file DLL il cui nome non allerta in alcun modo il sistema operativo vittima dell’attacco.
Secondo Mitre “Gli aggressori probabilmente utilizzano il side-loading come mezzo per mascherare le azioni che eseguono nell’ambito di un sistema o processo software legittimo, affidabile e potenzialmente con accessi elevati“.
Il punto di partenza dell’attacco documentato da Uptycs è un file immagine ISO che contiene tre file: un binario legittimo, denominato ctfmon.exe rinominato eBill-997358806.exe, un file MsCtfMonitor.dll rinominato monitor.ini e un file dannoso MsCtfMonitor.dll.
I ricercatori hanno spiegato come “Quando il file binario ‘eBill-997358806.exe’ viene eseguito, avvia il caricamento di un file intitolato ‘MsCtfMonitor.dll’ tramite la tecnica di side-loading DLL, all’interno del quale è nascosto codice dannoso“.
Il codice nascosto è un altro eseguibile FileDownloader.exe che viene inserito in Regasm.exe, per avviare la fase successiva, un file calc.exe autentico che carica nuovamente l’agente malevolo (Secure32.dll) attraverso la suddetta tecnica, con una procedura che poi porta al caricamento vero e proprio del trojan.
L’identità dell’autore della campagna e l’esatto vettore di accesso iniziale non sono chiari, ma è probabile che Quasar RAT venga diffuso tramite e-mail di phishing.