La settimana scorsa, i ricercatori di sicurezza di WithSecure hanno pubblicato un rapporto che evidenzia una preoccupante campagna malware.
Stando al documento, si tratta di una combinazione di più agenti malevoli, tra cui figura il famigerato DarkGate, utile per infettare le vittime tramite RAT (Remote Access Trojan) e vari infostealer come Ducktail, Redline e Lobshot.
DarkGate è un malware Windows capace di svolgere diverse azioni, come il mining di criptovaluta e il furto di credenziali. Dal canto suo, Ducktail viene utilizzato per rubare account aziendali di Facebook, Redline per raccogliere informazioni sul dispositivo infetto e Lobshot è un malware di accesso remoto furtivo.
La campagna, dunque si rivela un mix di malware molto pericoloso e che, a detta degli esperti, è difficile anche da attribuire a un gruppo di hacker specifico. In generale, infatti, si pensa che l’operazione sia opera di una gang proveniente dal Vietnam.
Stephen Robinson, analista senior di threat intelligence di WithSecure, ha affermato che, sulla base delle osservazioni del team, è altamente probabile che un singolo attore sia responsabile di più campagne individuate negli ultimi mesi.
Gli autori malintenzionati hanno utilizzato tattiche di social engineering per infettare gli obiettivi, con la maggior parte delle operazioni progettate strategicamente per ingannare i professionisti del marketing digitale inducendoli a scaricare file dannosi mascherati da descrizioni di lavoro e dettagli salariali.
DarkGate, casi sempre più frequenti: Regno Unito, India e altri paesi nel mirino
Le catene di attacco legate alla distribuzione di DarkGate sono caratterizzate dall’utilizzo degli script AutoIt, ottenuti tramite uno script Visual Basic inviato tramite email o messaggi di phishing su piattaforme come Skype o Microsoft Teams.
Nel Regno Unito, gli aggressori hanno attirato le vittime offrendo false offerte di lavoro presso Corsair, un noto produttore di memorie e hardware per computer. Le vittime sono state indotte con l’inganno a scaricare un file denominato Job Description of Corsair.docx, che in realtà conteneva un malware.
In India è stata adottata una strategia simile, usando come esca le offerte di lavoro presso la società finanziaria Groww.
Secondo i risultati delle ricerche, i singoli aggressori o gruppi hanno mostrato una sofisticatezza limitata degli attacchi, non curandosi più di tanto di eludere i sistemi di sicurezza.
Gli esperti hanno affermato di essere stati in grado di esaminare facilmente i metadati all’interno dei file .LNK, .PDF e .MSI utilizzati nella campagna, il che ha consentito loro di comprendere lo svolgimento delle operazioni.
I ricercatori hanno avvertito che ottenendo le credenziali associate agli account pubblicitari aziendali, gli autori delle minacce possono assumere il controllo di questi account ed eseguire campagne pubblicitarie non autorizzate.