Backdoor DRILLAPP
Gli analisti di sicurezza informatica hanno identificato una nuova campagna di minacce che prende di mira le organizzazioni ucraine, con indizi che suggeriscono il coinvolgimento di soggetti legati alla Russia. L'attività, osservata per la prima volta nel febbraio 2026, mostra sovrapposizioni tecniche con una precedente operazione attribuita al gruppo noto come Laundry Bear (anche tracciato come UAC-0190 o Void Blizzard). Tale campagna precedente aveva preso di mira le forze di difesa ucraine e aveva utilizzato una famiglia di malware chiamata PLUGGYAPE.
L'ultima operazione introduce una backdoor basata su JavaScript eseguita tramite il browser Microsoft Edge. Il malware, denominato dai ricercatori DRILLAPP, è progettato per sfruttare le funzionalità del browser al fine di caricare e scaricare file, accedere al microfono e acquisire immagini dalla webcam della vittima.
Gli aggressori si affidano a tattiche di ingegneria sociale per distribuire i componenti dannosi. Vengono utilizzate esche che fanno riferimento a questioni legali o cause benefiche per indurre le vittime ad aprire file dannosi e avviare la catena di infezione.
Sommario
Esche ingannevoli e metodo di infezione iniziale
La campagna è stata osservata in due varianti distinte. La prima versione, rilevata all'inizio di febbraio 2026, utilizza un file di collegamento di Windows (LNK) come meccanismo di distribuzione iniziale. Una volta eseguito, il collegamento crea un file HTML Application (HTA) nella directory temporanea del sistema. Questo file HTA recupera quindi uno script remoto ospitato sul servizio di condivisione di testo legittimo Pastefy.
Per mantenere la persistenza sui sistemi compromessi, gli aggressori copiano il file LNK dannoso nella cartella di avvio di Windows, assicurandosi che venga eseguito automaticamente dopo ogni riavvio del sistema. Una volta avviata la catena di infezione, alle vittime vengono presentati URL contenenti temi ingannevoli, tra cui istruzioni relative all'installazione di Starlink o riferimenti all'organizzazione benefica ucraina Come Back Alive Foundation.
Il file HTA viene infine avviato tramite il browser Microsoft Edge in modalità headless, consentendo al browser di eseguire lo script offuscato recuperato da Pastefy senza visualizzare una finestra del browser standard.
Sfruttamento dei parametri del browser per l’accesso furtivo
Per massimizzare le proprie capacità, il processo dannoso avvia il browser Edge con molteplici parametri che indeboliscono le protezioni di sicurezza integrate e consentono l'accesso non autorizzato a risorse di sistema sensibili.
Questi parametri consentono all'istanza del browser di aggirare le tipiche misure di sicurezza ed eseguire azioni normalmente limitate dai modelli di sicurezza del browser. La configurazione permette di fatto al malware di accedere ai file locali, acquisire flussi audio e video e registrare l'attività dello schermo senza richiedere alcuna interazione da parte della vittima.
I principali parametri del browser utilizzati nell'attacco includono:
--no-sandbox
--disabilita-la-sicurezza-web
--consenti-l'accesso-ai-file-dai-file
--usa-interfaccia-fittizia-per-lo-streaming-mediale
--auto-select-screen-capture-source=true
--disabilita-la-sicurezza-media-utente
Abusando di queste impostazioni, il browser diventa una componente funzionale dell'infrastruttura del malware anziché una semplice piattaforma di distribuzione.
Backdoor e funzionalità di sorveglianza basate su browser
L'artefatto DRILLAPP funziona come una backdoor leggera ma versatile. Una volta attivata, consente agli aggressori di interagire con il sistema infetto tramite funzionalità abilitate dal browser, trasformando di fatto quest'ultimo in uno strumento di sorveglianza remota.
Il malware è in grado di eseguire diverse operazioni che consentono un monitoraggio approfondito e la raccolta di dati dai dispositivi compromessi.
Le funzionalità principali includono:
- Caricamento e download di file dal sistema locale
- Acquisizione dell'audio tramite il microfono del dispositivo
- Registrazione video tramite webcam
- Acquisire schermate della visualizzazione di sistema
- Generazione di un'impronta digitale univoca del dispositivo utilizzando tecniche di fingerprinting su tela
Durante la sua prima esecuzione, il malware genera un'impronta digitale del dispositivo e utilizza Pastefy come "dead drop resolver" per recuperare un indirizzo WebSocket utilizzato per le comunicazioni di comando e controllo. Questa architettura consente agli aggressori di reindirizzare dinamicamente i sistemi infetti alla propria infrastruttura operativa.
La backdoor trasmette anche l'impronta digitale del dispositivo insieme alla posizione geografica dedotta della vittima. La posizione viene determinata dal fuso orario del sistema e confrontata con un elenco predefinito che include Regno Unito, Russia, Germania, Francia, Cina, Giappone, Stati Uniti, Brasile, India, Ucraina, Canada, Australia, Italia, Spagna e Polonia. Se il fuso orario non corrisponde a nessuna di queste regioni, il malware identifica automaticamente il sistema come situato negli Stati Uniti.
Evoluzione delle tecniche nella seconda variante della campagna
Una seconda versione della campagna è emersa alla fine di febbraio 2026, introducendo diverse modifiche pur mantenendo la struttura generale dell'attacco. Invece di basarsi su file di collegamento LNK, la variante aggiornata utilizza i moduli del Pannello di controllo di Windows come meccanismo di distribuzione iniziale.
Anche il componente backdoor ha ricevuto aggiornamenti funzionali. Questi miglioramenti consentono al malware di eseguire operazioni più approfondite sul file system e di migliorare la sua capacità di esfiltrare dati dagli ambienti infetti.
Tra i miglioramenti più significativi si annoverano l'enumerazione ricorsiva dei file, il caricamento di file in batch e la possibilità di scaricare file arbitrari direttamente sul sistema compromesso.
Aggirare le restrizioni di JavaScript con gli strumenti di debug di Chromium
Le restrizioni di sicurezza standard di JavaScript in genere impediscono al codice remoto di scaricare direttamente file sul sistema della vittima. Per aggirare questa limitazione, gli aggressori sfruttano il Chrome DevTools Protocol (CDP), un'interfaccia di debug interna utilizzata dai browser basati su Chromium.
È possibile accedere a CDP solo quando il browser viene avviato con il parametro --remote-debugging-port abilitato. Attivando questa funzionalità di debug, gli aggressori ottengono la possibilità di controllare il comportamento del browser a livello programmatico e di aggirare le tipiche restrizioni lato client, consentendo il download remoto di file che altrimenti verrebbero bloccati.
Indicatori di sviluppo precoce e infrastrutture sperimentali
Le prove suggeriscono che il malware è ancora in fase di sviluppo attivo. Una delle prime varianti, scoperta in circolazione il 28 gennaio 2026, comunicava esclusivamente con il dominio 'gnome.com' anziché scaricare il suo payload principale da Pastefy.
Questo comportamento indica che gli autori della minaccia potrebbero essere ancora impegnati a perfezionare sia la loro infrastruttura che le capacità operative della backdoor.
L’abuso del browser come strategia di elusione emergente
Uno degli aspetti più significativi della campagna è l'uso deliberato di un browser web come ambiente di esecuzione principale per la backdoor. Questo approccio evidenzia una tendenza crescente in cui gli aggressori riutilizzano software legittimo per eludere il rilevamento.
I browser offrono diversi vantaggi per le operazioni dannose. Sono ampiamente utilizzati e generalmente considerati processi innocui, il che riduce la probabilità di destare sospetti immediati. Inoltre, i parametri di debug del browser possono sbloccare potenti funzionalità che consentono azioni altrimenti limitate, come il download di file da remoto e un accesso esteso al sistema.
Inoltre, i browser mantengono autorizzazioni legittime per interagire con risorse hardware sensibili, tra cui microfoni, fotocamere e meccanismi di acquisizione dello schermo, il che consente agli aggressori di svolgere attività di sorveglianza mimetizzandosi nel normale funzionamento del sistema.
