Campagna malware a doppio payload
Una campagna malware recentemente scoperta sta attirando notevole attenzione nella comunità della sicurezza informatica per la sua capacità di diffondere simultaneamente due minacce distinte. Un singolo loader offuscato viene utilizzato per installare sia il RAT Gh0st che CloverPlus sullo stesso sistema compromesso.
Questa combinazione è al tempo stesso insolita e altamente strategica. Gh0st RAT consente il controllo remoto completo del computer infetto, mentre CloverPlus si concentra sulla manipolazione dell'attività del browser, sull'iniezione di componenti pubblicitari e sulla generazione di entrate tramite pop-up invasivi. La doppia implementazione permette agli autori delle minacce di mantenere un accesso non autorizzato persistente, monetizzando al contempo l'infezione in tempo reale.
Questa campagna mette in luce una tendenza crescente verso la diffusione di payload multipli, in cui gli aggressori massimizzano l'efficienza operativa e il ritorno finanziario da una singola violazione.
Sommario
Tattiche di offuscamento: occultare il carico utile
Il loader al centro di questa campagna è progettato per operare in modo furtivo. Incorpora due payload crittografati all'interno della sua sezione risorse, utilizzando tecniche di offuscamento per eludere i tradizionali meccanismi di rilevamento.
L'esecuzione inizia con il modulo adware CloverPlus, identificato come AdWare.Win32.CloverPlus e associato a un file eseguibile denominato wiseman.exe. Questo componente modifica le impostazioni di avvio del browser e inserisce annunci pop-up persistenti.
Successivamente, il loader valuta il proprio percorso di esecuzione. Se non viene eseguito dalla directory %temp% del sistema, crea una copia di se stesso in tale directory prima di procedere. La fase successiva prevede la decrittazione del modulo client Gh0st RAT, anch'esso nascosto come risorsa crittografata all'interno del file binario del malware.
Una volta decifrato, il malware assegna un nome file casuale al payload e lo memorizza in una cartella con un nome casuale situata nella directory principale dell'unità C:\, complicando ulteriormente il rilevamento e l'analisi.
Vivere dei frutti della terra: strumenti affidabili, intenzioni maligne.
Per eseguire il payload decrittografato, il malware sfrutta l'utilità legittima di Windows rundll32.exe. Questo approccio consente l'esecuzione di codice dannoso sotto le spoglie di un processo di sistema attendibile, riducendo significativamente la probabilità di attivare le difese di sicurezza.
Una volta attivato, Gh0st RAT inizia a profilare il sistema compromesso raccogliendo identificativi univoci come l'indirizzo MAC e il numero di serie del disco rigido. Questi dettagli vengono utilizzati per registrare la vittima all'interno dell'infrastruttura di comando e controllo dell'attaccante, garantendo un tracciamento e una gestione precisi degli host infetti.
Meccanismi di persistenza: garantire l’accesso a lungo termine
Mantenere l'accesso dopo il riavvio del sistema è un obiettivo chiave di questa campagna. Il RAT Gh0st raggiunge la persistenza attraverso molteplici tecniche integrate in profondità nel sistema operativo:
Modifica della chiave di registro Esegui di Windows per garantire l'esecuzione automatica all'avvio
Registrazione di una DLL dannosa nel percorso del servizio Accesso remoto in SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip
Questi metodi concedono al malware privilegi di livello SYSTEM ogni volta che viene avviato il servizio associato, eliminando la necessità di ulteriori interazioni da parte dell'utente e rafforzando il controllo a lungo termine.
Rilevamento e difesa: indicatori di compromissione
L'impatto di questa campagna è considerevole sia per i singoli individui che per le organizzazioni. Mentre il componente adware compromette la funzionalità del browser e aumenta l'esposizione a pubblicità dannosa, il componente RAT consente il furto di dati, la registrazione delle sequenze di tasti, l'elusione delle misure di sicurezza e l'accesso privilegiato persistente.
I team di sicurezza devono rimanere vigili e monitorare i seguenti indicatori di compromissione:
- Esecuzione di rundll32.exe con caricamento di DLL o estensioni di file non standard da directory insolite o sospette
- Attività di processo originata dalla cartella %temp%
- Modifiche non autorizzate alle chiavi di registro Run o alle configurazioni del servizio RemoteAccess
- Utilizzo di ritardi basati sul ping per eludere il rilevamento da parte delle sandbox.
- Modelli di traffico DNS anomali e modifiche impreviste al file hosts di sistema
Il monitoraggio proattivo e la risposta rapida a questi segnali sono fondamentali per mitigare i rischi posti da questa sofisticata campagna malware a doppia minaccia.
