Grazie all’impegno dell’AhnLab Security Emergency Response Center, noto ai più come ASEC, è stato possibile individuare una nuova campagna malware che utilizza un file .EXE dannoso per colpire alcuni vittime precise, già individuate dai cybercriminali.
Per spingere gli utenti verso l’esecuzione del file, questo viene sottoposto a tecniche di social engineering facendo riferimento a false perdite di dati personali. Spacciandosi per un falso team di investigazione informatica, gli hacker sfruttano la paura degli utenti per spingerli all’azione immediata.
Il file EXE, spacciato come documento Word, una volta avviato svolge la funzione di backdoor, eseguendo comandi offuscati forniti dai cybercriminali in formato XML. Come è facile intuire, l’attivazione della stessa lascia ampio spazio di manovra sul computer locale da parte di chi gestisce questa campagna.
Stando a un rapporto di Cyber Security News, l’esecuzione del file comporta la creazione di file .data nella cartella %Programdata%. Questi vengono immediatamente offuscati, rendendo molto difficile la loro individuazione.
Un documento Word riguardante false perdite dati va ad attivare una pericolosa backdoor
Al di là di un file doc, 20231126_9680259278.doc del tutto legittimo, i file ad essere installati sul computer della vittima sono:
- Lomd02.png;
- Operator.jse;
- WindowsHotfixUpdate.jse;
- WindowsHotfixUpdate.ps1.
Tutti questi file risultano essere script jse dannosi a parte l’ultimo, ovvero WindowsHotfixUpdate.ps1, che è uno script PowerShell.
A causa dell’offuscamento dei suddetti script, per gli strumenti di rilevazione risulta difficile individuare il malware se non una volta che questo è già pienamente attivo e molto difficile da arrestare.
Proprio per questo motivo è fortemente consigliato, così come in tanti altri casi simili, adottare una tattica preventiva efficace. Nello specifico, evitare di aprire allegati di e-mail che non siano provenienti da fonti più che affidabili, è di certo un ottimo modo per evitare questo tipo di agente malevolo.
Allo stesso modo, mantenere aggiornato il sistema operativo e adottare un antivirus di alto livello possono, perlomeno in parte, prevenire potenziali disastri.