È in corso in Italia una campagna malevola che mira a installare il software lecito ScreenConnect per il controllo remoto di postazioni Windows. Lo allerta il CERT-AgID con un avviso emesso al riguardo, specificando che il caso rappresenta una minaccia significativa per gli utenti di Windows, in quanto potrebbe consentire agli attaccanti di prendere il controllo remoto dei sistemi.
Indice degli argomenti
ScreenConnect: la campagna malspam italiana
La campagna malspam veicola e-mail che fingono di riguardare una fattura non pagata, con un allegato in formato PDF contenente un link a un file malevolo.
Fonte: immagine condivisa dal ricercatore malware OxToxin.
Il messaggio all’interno del file PDF indica semplicemente di cliccare su un pulsante “Open” per visualizzare il presunto contenuto protetto. In realtà, induce a scaricare un file che, secondo gli esperti del CERT-AgID, potrebbe essere un eseguibile, un archivio ZIP o uno script sulla base dello specifico file PDF impiegato come vettore.
Diverse, infatti, sarebbero stati i campioni e-mail con allegati PDF segnalati.
Fonte: CERT-AgID.
Catena d’infezione della campagna malspam ScreenConnect
Interessante la catena d’infezione analizzata dal ricercatore malware OxToxin relativo al suo campione rilevato.
L’algoritmo malevolo farebbe un check preventivo per assicurare l’esecuzione dell’installazione sul sistema anche nel caso di vittime con utenze senza privilegi amministrativi sfruttando il bypass UAC (User Account Control).
Quindi, imposterebbe delle chiavi di registro per eseguire comandi shell senza prompt dei comandi aperti e sfruttare il bypass “fodhelper.exe” dell’UAC per eseguire in ogni caso il codice programmato per poi cancellare ogni traccia delle attività.
Fonte: immagine condivisa dal ricercatore malware OxToxin.
Verrebbe così installato il software ScreenConnect, configurato per connettere il sistema della vittima a un’istanza controllata dagli attaccanti (sfruttando, per la comunicazione, l’infrastruttura lecita dell’azienda ConnectWise produttrice del software ScreenConnect) senza necessità di intervento da parte dell’utente e mettendo potenzialmente a rischio le informazioni personali e aziendali dell’utente permettendo il controllo remoto del computer.
Fonte: CERT-AgID.
Possibile fase preparatoria per attacchi successivi
Al momento, non è ancora chiaro il vero intento degli artefici di questa campagna.
“Non sono al momento disponibili evidenze riguardo lo scopo ultimo degli attori dietro la campagna, il controllo remoto della macchina della vittima è anomalo rispetto alle usuali campagne malware che colpiscono l’Italia. Quest’ultime sono infatti mirare al furto di informazioni e solo in seconda istanza, in modo puramente opportunistico, si trasformano in teste di ponte per il controllo remoto della macchina.”, si legge nel rapporto degli analisti del CERT-AgID.
Sempre secondo il CERT-AgID, il controllo remoto in questo caso potrebbe essere utilizzato da operatori IAB (Initial Access Broker) come fase preparatoria per valutare le azioni successive da intraprendere delegandoli magari ad ulteriori gruppi criminali per attività ransomware o di spionaggio.
Misure di mitigazione del malspam a tema ScreenConnect
Per proteggersi da questi tipi di campagne, il consiglio è sempre quello di prestare particolare attenzione alle e-mail ricevute evitando di cliccare su link sospetti o di aprire allegati da fonti non verificate.
In particolare, il CERT-AgID consiglia di bloccare temporaneamente la comunicazione con l’host di connessione ConnectWise attualmente usato dai campioni rilevati e afferente alla seguente istanza “instance-m73xwc-relay.screenconnect[.]com”.
Il CERT-AgID ha, inoltre, reso pubblici i dettagli della campagna tramite gli IoC rilevati.
