L’avvertimento arriva direttamente da Microsoft: attraverso i suoi canali ufficiali, infatti, il colosso informatico ha segnalato una massiccia campagna di malvertising attraverso cui, con l’aiuto del trojan Danabot, viene diffuso il temibile ransomware Cactus e il suo “collega” Storm-0216.
La campagna, individuata nel corso dello scorso mese, sfrutta una versione modificata di Danabot. In questo senso, l’agente malevolo non si comporta come un MaaS (Malware-as-a-Service) presentando comportamenti anomali. Il trojan di cui stiamo parlando opera di solito nel contesto bancario, pur presentandosi come un malware modulare. Quest’ultima caratteristica, di fatto, lo rende adattabile anche a diversi contesti, oltre ad essere facilmente aggiornabile.
Scritto in Delphi, Danabot è stato individuato e catalogato per la prima volta nel 2018. Durante i suoi primi mesi di attività, il trojan si era focalizzato verso vittime residenti in Australia e Polonia, prima di espandersi e raggiungere altri paesi, tra cui anche l’Italia.
The current Danabot campaign, first observed in November, appears to be using a private version of the info-stealing malware instead of the malware-as-a-service offering.
— Microsoft Threat Intelligence (@MsftSecIntel) December 1, 2023
Microsoft segnala una nuova operazione dei cybercriminali molto pericolosa
Per Microsoft Threat Intelligence “Danabot raccoglie le credenziali dell’utente e altre informazioni che invia al comando e controllo, seguite da movimenti laterali tramite tentativi di accesso RDP, che alla fine portano a un passaggio a Storm-0216“.
Storm-0216 è un ransomware che, in precedenza, veniva diffuso dal malware Qakbot. In seguito alla rimozione dell’infrastruttura che gestiva questo agente malevolo, Storm-0216 sembra essere stato “adottato” da Danabot per la sua diffusione. Va infine ricordato come, in questo contesto, viene promosso anche il ransomware Cactus, un’altra minaccia emergente che si sta facendo notare nell’ultimo periodo.
Al vertice di questa operazione, per, resta un’astuto abuso dell’advertising. Il fenomeno, noto come malvertising, è sempre più diffuso e preoccupante. In questo senso, gli utenti devono sempre stare attenti agli annunci pubblicitari, anche quando a proporli sono servizi teoricamente sicure come Google o le piattaforme Meta.