Trojan bancario Blackmoon
Gli analisti della sicurezza informatica hanno scoperto una campagna di intrusione attiva e articolata in più fasi, rivolta a individui e organizzazioni indiane. L'operazione sembra essere di natura cyber-spionaggio e si basa su un framework di backdoor a più livelli per ottenere un accesso segreto e a lungo termine ai sistemi compromessi.
Sommario
Il phishing come vettore di infezione iniziale
La campagna inizia con e-mail di phishing mascherate da corrispondenza ufficiale dell'Ufficio delle Imposte sul Reddito dell'India. Questi messaggi inducono i destinatari a scaricare un archivio ZIP con il pretesto di avvisi di sanzioni fiscali. Una volta aperto, l'archivio innesca la catena di infezione che, in ultima analisi, consente il monitoraggio persistente e il furto di dati.
Archivio armato ed esecuzione furtiva
Il file ZIP fornito contiene cinque componenti, tutti nascosti, ad eccezione di un file eseguibile esca denominato "Inspection Document Review.exe". Questo file viene utilizzato impropriamente per caricare lateralmente una libreria a collegamento dinamico dannosa incorporata nell'archivio. La DLL non autorizzata esegue controlli di elusione del debugger e comunica con un server di comando e controllo remoto per recuperare il payload della fase successiva.
Escalation dei privilegi e mascheramento dei processi
Lo shellcode scaricato sfrutta una tecnica basata su COM per aggirare il Controllo Account Utente (UAC), concedendo privilegi elevati. Quindi modifica il proprio Process Environment Block (PEB) per impersonare il processo legittimo di Windows explorer.exe, riducendo la probabilità di essere rilevato da strumenti di sicurezza e analisti.
Consegna adattiva del carico utile
Una fase successiva, '180.exe', viene recuperata dal dominio eaxwwyr[.]cn. Questo file è un programma di installazione di Inno Setup a 32 bit che modifica il suo flusso di esecuzione a seconda della presenza o meno di uno specifico software di sicurezza sull'host infetto, consentendo al malware di adattare dinamicamente le sue tattiche di evasione.
Evasione del software di sicurezza e collegamento Blackmoon
Quando viene rilevato un software difensivo, il malware evita la disattivazione diretta. Invece, simula i movimenti del mouse per navigare nell'interfaccia di sicurezza e aggiunge silenziosamente componenti dannosi all'elenco di esclusione. Questa attività è facilitata da una DLL che si ritiene essere una variante della famiglia di malware Blackmoon (KRBanker), storicamente associata ad attacchi ad aziende in Corea del Sud, Stati Uniti e Canada fin dalla sua comparsa nel 2015.
Abuso di uno strumento aziendale legittimo
Uno dei file aggiunti all'elenco delle esclusioni è "Setup.exe", un'utilità legittima di SyncFutureTec Company Limited. Questo programma elimina "mysetup.exe", identificato come SyncFuture TSM (Terminal Security Management), una soluzione commerciale di monitoraggio e gestione remota sviluppata da Nanjing Zhongke Huasai Technology Co., Ltd. Sebbene progettata per l'amministrazione aziendale, viene riproposta in questa campagna come piattaforma di spionaggio completa.
Componenti di supporto e manipolazione del sistema
Dopo l'implementazione, vengono installati elementi aggiuntivi per preparare e controllare l'ambiente:
- Script batch che creano directory personalizzate, modificano gli elenchi di controllo degli accessi, alterano le autorizzazioni del desktop ed eseguono attività di pulizia e ripristino.
- Un eseguibile dell'orchestratore, 'MANC.exe', che coordina i servizi e consente la registrazione estesa delle attività.
Impatto operativo e significato strategico
Utilizzando in modo improprio uno strumento aziendale legittimo insieme a malware personalizzato, gli operatori ottengono il controllo remoto sugli endpoint infetti, una visibilità continua sulle attività degli utenti e un meccanismo centralizzato per l'esfiltrazione di dati sensibili. L'uso coordinato di sideload di DLL, escalation dei privilegi, riutilizzo di strumenti commerciali, misure anti-analisi ed elusione del software di sicurezza riflette un elevato grado di maturità tecnica e un chiaro intento di mantenere un controllo persistente e granulare sui sistemi compromessi.
