MoDi RAT

Una nuova campagna di attacco che fornisce l'accesso remoto Trojan MoDi RAT è stata rilevata dagli esperti di sicurezza informatica. La minaccia possiede tutte le funzionalità minacciose previste da un RAT. MoDi RAT fornisce agli aggressori l'accesso remoto al computer infetto. Ciò consente agli hacker di eseguire comandi arbitrari, manipolare il file system, estrarre le informazioni di interesse raccolte dal dispositivo compromesso o fornire ulteriori payload minacciosi.

MoDi RAT può anche tentare di connettersi a server Command-and-Control (C2, C&C) aggiuntivi, il che significa che qualsiasi file o dato privato che è stato raccolto può quindi essere trasmesso e caricato su più di un server esterno. I dati raccolti potrebbero includere informazioni dettagliate sull'host e sul sistema, credenziali di accesso sensibili e dettagli finanziari.

Tuttavia, gli aspetti più interessanti scoperti dai ricercatori di infosec non erano legati alla minaccia in sé ma al metodo attraverso il quale è stato consegnato MoDi RAT.

Una catena di attacchi contorti fa cadere MoDi RAT

Prima che il carico utile finale costituito da MoDi RAT venga stabilito sul sistema compromesso, l'attacco attraversa più fasi e coinvolge alcuni trucchi ingegnosi progettati per evitare il rilevamento. Il vettore di attacco iniziale è molto probabilmente una campagna e-mail di spam che diffonde e-mail contenenti allegati danneggiati. Quando l'utente esegue l'allegato di posta elettronica, attiva uno script Visual Basic che si connette a un sito remoto che funge da punto di ingresso per diversi reindirizzamenti HTTP 302 prima di arrivare finalmente a un file di archivio .ZIP ospitato su OneDrive. L'archivio contiene un file VBS (VBE) codificato.

Nel frattempo, lo script VBS iniziale rilascia un secondo file VBS nel filesystem e inserisce tre voci BLOB di dati nel registro di Windows che vengono utilizzate nelle fasi successive dell'attacco. Successivamente, procede alla creazione di un'attività pianificata responsabile dell'esecuzione dello script VBS in un punto predeterminato in futuro. Il codice VBS, a sua volta, avvia PowerShell e inserisce i comandi necessari negli appunti del sistema. La minaccia invia quindi i comandi alla finestra di PowerShell tramite il comando SendKeys di VBS a livello di codice. Questa tecnica evita la generazione di un'istanza di PowerShell contenente parametri della riga di comando insoliti che potrebbero essere rilevati dai prodotti di sicurezza.

Fase di attacco senza file

Il resto delle azioni minacciose sono completamente prive di file. I passaggi prevedono che PowerShell estragga un eseguibile del decodificatore .NET dai BLOB del Registro di sistema e lo inserisca in un processo di sistema. Il decodificatore estrae quindi un iniettore .NET e blob di payload. In questa fase, l'iniettore procede al caricamento del payload inserendolo nell'applicazione msbuild.exe .

Va notato che diverse stringhe, il nome del file ZIP iniziale (Timbres-electroniques) e una delle chiavi di registro (Entreur), sono tutte parole di origine francese. Potrebbe non essere una sorpresa quindi che tra gli obiettivi rilevati di MoDi RAT ci fossero più aziende francesi.