È stata rilevata una sofisticata campagna di attacco che utilizza una tecnica mai vista prima per rilasciare il malware in maniera silente, senza file, sui computer presi di mira sfruttando i registri degli eventi di Windows per nascondere porzioni di shellcode.
Le prime tracce dei nuovi malware fileless sono state isolate a febbraio, anche se le attività degli attaccanti (non ancora identificati) si sono concentrate in particolare nell’ultimo mese.
Indice degli argomenti
Il malware che si diffonde senza file
Come dicevamo, la ricerca portata avanti da Kaspersky ha rivelato che la tecnica recentemente adottata prevede l’iniezione di shellcode direttamente nei registri eventi di Windows. Ciò consente agli avversari di utilizzare i log del sistema operativo come scudo per lanciare trojan nell’ultima fase della catena di infezione, in particolare un trojan HTTP-based.
La catena dell’attacco in dettaglio
La prima fase della catena di attacco inizia con l’invitare le vittime a scaricare un file RAR compresso da siti Web di phishing che imitano software house legittime. Questa campagna è stata identificata come risalente a settembre 2021 e, nel caso specifico iniziale, diffondeva un modulo per Cobalt Strike (famoso tool di penetration testing che piace molto anche ai cyber criminali).
Una volta scaricato il file, si eseguono Cobalt Strike e SilentBreak, entrambi strumenti di penetration test. Questi strumenti vengono anche utilizzati per aprire shellcode sulle macchine prese di mira.
Cobalt Strike e SilentBreak utilizzano decryptor AES anti-rilevamento separati, compilati con Visual Studio. Una novità importante è anche il modo in cui lo shellcode crittografato contenente il payload dannoso viene incorporato nei registri eventi di Windows.
Per evitare il rilevamento, il codice “è diviso in blocchi da 8 KB e salvato nella parte binaria dei registri eventi”.
L’attributo fileless di questa tipologia di attacchi, deriva direttamente dalla capacità di iniettare malware nella memoria del sistema, senza passare per file infetti sul disco rigido locale, limitando in questa maniera l’eventuale rilevamento da parte di tradizionali sistemi di protezione antivirus.
Secondo i ricercatori, gli aggressori sfruttano anche i certificati digitali e una varietà di altri wrapper anti-rilevamento per aggirare i controlli di sicurezza.
I criminali dietro questa campagna, hanno utilizzato due tipi di trojan per l’ultima fase. Come detto uno dei due tipi di trojan è stato consegnato su HTTP con crittografia RC4, l’altro tipo è stato invece eseguito con named pipe.
“L’ultimo modo è tecnicamente in grado di comunicare con qualsiasi host esterno visibile in rete, ma in Windows le named pipe sono basate sul protocollo SMB, che si aprirebbe a malapena per le reti esterne. Quindi questi moduli molto probabilmente servono per il movimento laterale”, riporta Kaspersky.
A questo punto, che la shell può essere considerata avviata, i criminali hanno il controllo della macchina, con tutte le funzionalità remote, in contatto con il server C&C (comando e controllo).
La tecnica fileless nella storia recente
Analizzando i pregressi l’attacco malware senza file era già apparso in un’altra campagna anch’essa recente e rimane una minaccia significativa nel panorama informatico. Di recente infatti, IBM Security X-Force ha condiviso dettagli su una nuova variante di malware senza file denominata DarkWatchman. Il malware in quel caso veniva recapitato tramite e-mail di phishing che sembravano essere una lettera ufficiale del servizio federale di ufficiali giudiziari del governo russo.
Il gruppo di criminali informatici Hive0117, motivato dal punto di vista economico (estorsivo), aveva utilizzato il malware senza file per prendere di mira utenti nei settori delle telecomunicazioni, dell’elettronica e dell’industria in Lituania, Estonia e Russia.
Si tratta dunque di una nuova natura in evoluzione delle attività criminali, atta ad impiantare codice dannoso su sistemi compromessi tramite registro eventi di Windows.
È dunque molto probabile che il malware senza file presenzierà la scena cyber ancora per un po’ di tempo.
Lo sguardo dei ricercatori è dunque rivolto alle organizzazioni, che devono rafforzare i loro sistemi di difesa degli endpoint per rilevare e contrastare qualsiasi attività dannosa nella fase iniziale, non limitandosi al solo monitoraggio dei file che giacciono sul disco rigido delle macchine adoperate.
