I ricercatori di Trend Micro hanno identificato una nuova minaccia informatica con dietro il gruppo di ransomware BlackCat, noto anche come ALPHV, che mira alle reti aziendali attraverso un sofisticato vettore di attacco: il malware, infatti, si propaga sfruttando pagine web false che imitano il sito ufficiale di WinSCP, un’applicazione di trasferimento file molto popolare tra gli amministratori di sistema e gli esperti IT.
Indice degli argomenti
Un falso WinSCP infetta i sistemi Microsoft
La campagna BlackCat è stata individuata in quanto promossa attivamente su Google e Bing attraverso annunci pubblicitari che indirizzano gli utenti verso domini simili al sito legittimo di WinSCP. Ad esempio, proprio l’indirizzo “winscp[.]com” è stato utilizzato come parte di questa frode. WinSCP, noto come Windows Secure Copy, è un client open source gratuito che supporta protocolli come SFTP, FTP, S3 e SCP, ed è utilizzato da oltre 400.000 utenti settimanalmente. Una delle più popolari GUI per Windows, del protocollo Secure Copy nativamente supportati da tutti i sistemi Unix-like.
L’attacco inizia quando una potenziale vittima esegue una ricerca su Bing o Google per “WinSCP Download”. Successivamente, viene reindirizzata verso un sito promosso che, a sua volta, reindirizza l’utente a una copia falsa del sito ufficiale di WinSCP, completo di un pulsante di download. Una volta che la vittima scarica un file ISO contenente setup.exe e msi.dll, il pericolo si materializza.
Il file setup.exe funge da esca per l’utente, mentre msi.dll è un contenitore di malware. L’esecuzione di setup.exe avvia una serie di processi, inclusa l’estrazione della cartella Python dalla sezione DLL RCDATA del file msi.dll. Questo crea l’illusione che sia in corso l’installazione regolare di WinSCP. Tuttavia, durante il processo di installazione, viene installato anche un trojan chiamato python310.dll. Inoltre, viene creato un meccanismo di persistenza attraverso una chiave di avvio denominata “Python”, con il valore impostato su “C:\Users\Public\Music\python\pythonw.exe”.
Successivamente, viene eseguito l’eseguibile pythonw.exe, che carica una versione modificata e oscurata di python310.dll contenente Cobalt Strike, un noto strumento di hacking. Questo componente del ransomware si connette poi a un indirizzo C2 (command and control) specifico per comunicare con gli operatori dietro l’attacco.
Gli operatori dietro ALPHV, il gruppo responsabile di BlackCat ransomware, utilizzano una serie di strumenti e script per compromettere ulteriormente il sistema vittima. Tra gli strumenti menzionati evidenziamo AdFind, comandi PowerShell, AccessChk64, Findstr, PowerView, script Python, PsExec, BitsAdmin, Curl, AnyDesk, KillAV BAT e PuTTY Secure Copy.
Inoltre, i ricercatori di Trend Micro hanno riscontrato la presenza di un file chiamato Clop in uno dei domini C2 (comando e controllo) analizzati. Questa scoperta ha portato a ipotizzare che l’autore di questa minaccia potrebbe essere coinvolto in diverse operazioni di ransomware, ampliando così l’entità e la portata delle loro attività dannose.
Come detto, Trend Micro ha collegato in modo sicuro le tattiche, le tecniche e le procedure (TTP) osservate in questi attacchi al gruppo ALPHV. Tuttavia, la presenza di un file Clop fa sospettare che gli autori potrebbero essere coinvolti in diverse operazioni di ransomware, evidenziando la complessità e la diversità delle minacce informatiche in atto.
Come difendersi dalla nuova variante di BlackCat
Gli esperti di sicurezza consigliano agli utenti di fare attenzione durante il download di software da fonti esterne e di verificare attentamente l’autenticità dei siti web ufficiali.
Inoltre, è fondamentale mantenere tutti i sistemi e le applicazioni aggiornati con le ultime patch di sicurezza e utilizzare soluzioni antivirus affidabili per proteggere i sistemi dagli attacchi informatici.
La scoperta della nuova variante del ransomware BlackCat sottolinea l’importanza di una solida sicurezza informatica e della consapevolezza degli utenti per contrastare le minacce sempre più sofisticate che possono compromettere la sicurezza delle reti aziendali e dei dati sensibili, appunto con la diffusione del ransomware.
