Recentemente, il CERT-AgID ha rilevato una campagna malevola volta alla diffusione del trojan XWorm RAT in Italia.
Questa campagna sfrutta e-mail false camuffate da comunicazioni ufficiali del gestore Namirial, un’azienda nota per i suoi servizi di firma digitale e gestione documentale.
Indice degli argomenti
XWorm RAT in Italia
In Italia, XWorm è apparso per la prima volta nel 2023 per poi riapparire nella primavera del 2024 attraverso una campagna generica a tema informazioni che in Italia è stata veicolata tramite allegati ZIP.
XWorm garantisce agli attaccanti il controllo da remoto della macchina infetta, riuscendo a ottenere la persistenza sul sistema.
Venduto come servizio (Malware as a Service) nei forum underground il malware possiede funzionalità di keylogging e infostealer e, come tutti i RAT (Remote Access Trojan), apre un varco di accesso sul sistema target per possibili ulteriori attacchi.
Modus operandi del trojan XWorm
Delle false e-mail Namirial, scritte in italiano, invitano gli utenti a visualizzare un documento PDF allegato. Se il file PDF non si apre correttamente, il messaggio suggerisce di utilizzare il link alternativo presente nel corpo del messaggio stesso. Questo link in realtà avvia il download di un archivio ZIP contenente un file URL che una volta aperto preleva un file BAT offuscato, deputato all’installazione del payload XWorm.
“Viene scaricato un ulteriore archivio ZIP contenente l’interprete Python, utilizzato per eseguire gli script malevoli già inclusi nell’archivio. Questo processo porta al rilascio di uno dei seguenti malware: AsyncRAT, DCRat, GuLoader, VenomRAT, Remcos RAT o, come nel caso attuale, XWorm”, si legge nel rapporto del CERT-AgID.
I punti salienti della campagna a tema Namirial
Così si possono riassumere i punti salienti di questa campagna:
- Le e-mail sono progettate per sembrare comunicazioni ufficiali di Namirial, aumentando la probabilità che gli utenti le aprano.
- Il PDF allegato è volutamente protetto da password inducendo così gli utenti a cliccare sul link alternativo.
- Il file URL sfrutta la funzionalità TryCloudflare per creare tunnel temporanei verso server locali, facilitando il download del file BAT.
- Il file BAT è offuscato tramite lo strumento BatchShield.
Impatto del malware
È nota la capacità degli sviluppatori di evolvere rapidamente le funzionalità e le tecniche di evasione di XWorm, rendendolo una minaccia persistente e difficile da rilevare.
Una volta installato, XWorm RAT consente di ottenere il controllo remoto del sistema infetto, permettendo di carpire informazioni sensibili e di installare anche ulteriori malware.
Per proteggersi da questa minaccia, è fondamentale:
Verificare l’autenticità delle e-mail: Prima di aprire allegati o cliccare su link, verificare sempre l’autenticità del mittente.
Aggiornare regolarmente il software: Mantenere aggiornati il sistema operativo e i software di sicurezza per proteggersi dalle vulnerabilità note.
La collaborazione tra gli utenti e i professionisti di sicurezza informatica. A integrazione degli IoC pubblicati dal CERT-AgID, il cacciatore di malware JAMESWT ha condiviso anche diversi campioni del malware e una task sequence in sandbox.
