Attraverso il lavoro di un esperto di sicurezza informatica, noto come il nome di REXor, è stato possibile notare un aumento considerevole per quanto la diffusione del malware multifunzionale SystemBC, noto anche come Coroxy o DroxiDat.
Questo, sebbene attivo dal 2018, è stato di recente adottato da diversi gruppi ransomware come strumento per ottimizzare la diffusione degli attacchi. Tra i collettivi che hanno sfruttato SystemBC nelle ultime settimane e mesi, figurano alcuni nomi di spicco, come BlackBasta, Rhysida, ViceSociety e Hive.
Per rendere questo malware ancora più efficace, poi, l’esperto ha notato come viene diffuso in combinazione con CobaltStrike, sfruttando tecniche di spear phishing o loader per infettare i dispositivi delle vittime.
Il malware multifunzione SystemBC offre ampio spazio di manovra ai cybercriminali
In base al gruppo coinvolto, SystemBC viene sfruttato in modo diverso. Secondo i dati ottenuti finora, in ogni caso, esistono alcune tecniche ricorrenti tra i cybercriminali.
Di solito, quando viene utilizzato un eseguibile che, una volta avviato, crea una copia duplicata del malware sul dispositivo della vittima. La persistenza di SystemBC, dunque, viene assicurata anche alcune voci apposite inserite nei registri di sistema che “ancorano” l’agente malevolo al sistema operativo.
Altre tecniche comuni prevedono l’utilizzo di un packer o sistemi di offuscamento che non includono l’adozione di loader veri e propri. Alcuni campioni esaminati, poi, rivelano copie identiche del malware in diverse cartelle del computer o l’adozione di nomi dinamici per i file coinvolti nell’infezione.
Di fatto, questo malware multifunzionale si sta rivelando un’arma preziosa nelle mani dei gruppi di ransomware che, attraverso il suo utilizzo, cercano di disorientare tanto i sistemi di difesa delle vittime quanto i ricercatori di sicurezza.