Una nuova campagna hacking di phishing ha preso di mira entità europee per distribuire Remcos RAT e Formbook tramite un caricatore di malware chiamato DBatLoader.
DBatLoader: cosa fa questo malware?
“Il carico di malware viene distribuito attraverso siti web WordPress che hanno certificati SSL autorizzati, che è una tattica comune usata dai malintenzionati per eludere i motori di rilevamento“, hanno detto i ricercatori di Zscaler Meghraj Nandanwar e Satyam Singh in un rapporto pubblicato lunedì.
Le scoperte si basano su un precedente rapporto di SentinelOne del mese scorso che descriveva e-mail di phishing contenenti allegati dannosi che si fingevano documenti finanziari per attivare la catena di infezioni.
Alcuni dei formati di file utilizzati per distribuire il carico utile di DBatLoader riguardano l’uso di un file HTML offuscato a più strati e allegati OneNote.
L’evoluzione della faccenda mette in mostral’abuso crescente dei file OneNote come vettore iniziale di infezione per la distribuzione di malware dallo scorso anno in risposta alla decisione di Microsoft di bloccare per impostazione predefinita le macro nei file scaricati da Internet.
DBatLoader, anche chiamato ModiLoader e NatsoLoader, è un malware basato su Delphi che è in grado inviare e ricevere dati da servizi cloud come Google Drive e Microsoft OneDrive, mentre adotta anche tecniche di steganografia dell’immagine per eludere i motori di rilevamento.
Un aspetto curioso dell’attacco è l’uso di cartelle fittizie affidabili come “C:Windows System32” (da notare lo spazio alla fine dopo Windows) per bypassare il Controllo dell’Account Utente (UAC) ed elevare i privilegi (a privilegi di amministratore).
Una cosa curiosa qui è che le directory non possono essere create direttamente dall’interfaccia utente di Windows Explorer, ma richiedono al malintenzionato (o ai malintenzionati) di fare affidamento su uno script per portare a termine il compito e copiare nella cartella una DLL fraudolenta e un’eseguibile legittimo (easinvoker.exe) vulnerabile all’hijacking della DLL per caricare il carico utile DLL.
Ciò consente agli aggressori di svolgere attività a livello di amministratore senza avvisare gli utenti, tra le quali stabilire la persistenza e aggiungere la directory “C:Users” all’elenco di esclusione di Microsoft Defender per evitare di essere scansionati (sostanzialmente creano altri utenti).
Per non correre rischi rappresentati da DBatLoader, si consiglia di monitorare le esecuzioni dei processi (il famoso Task Manager di Windows) che coinvolgono percorsi di sistema di file con spazi alla fine e di considerare la configurazione di UAC di Windows per avere sempre le notifiche disponibili.
Oltre a tenere d’occhio i processi, come difendersi da DBatLoader?
Inoltre, potremmo discutere le tecniche di mitigazione raccomandate per proteggere i sistemi da questa minaccia, come l’utilizzo di soluzioni antivirus aggiornate e la monitoraggio dei comportamenti anomali del sistema, queste “tecniche”, potremmo semplicemente chiamarle “buonsenso“.
Potremmo anche sottolineare l’importanza di mantenere il software e i sistemi operativi aggiornati per ridurre le vulnerabilità note, e perché no, utilizzare all’occorrenza software antivirus e antimalware di terze parti qualora Windows Defender non dovesse bastare a mitigare i rischi.
Alcuni casi simili precedenti
Oltre DBatLoader, il malware Trickbot è noto per utilizzare tecniche di falsificazione delle directory e di evasione per diffondersi attraverso i sistemi compromessi.
Inoltre, il malware Emotet ha utilizzato anche tecniche di evasione, come il “living off the land”, per evitare di essere rilevato dalle varie soluzioni di sicurezza informatica.
Questi esempi dimostrano l’importanza di utilizzare una combinazione di tecniche di sicurezza per proteggere i sistemi, tra cui la protezione dei dati, l’analisi del comportamento degli utenti, la verifica della sicurezza dei fornitori e la gestione delle patch di sicurezza.
————-
Contenuto pubblicato su tech.icrewplay.com Read More
