FadeStealer

Il gruppo di hacker APT37, noto anche come StarCruft, Reaper o RedEyes, è stato recentemente osservato utilizzando un malware per il furto di informazioni appena scoperto chiamato FadeStealer. Questo malware sofisticato incorpora una capacità di "intercettazione telefonica", che consente agli autori delle minacce di intercettare e registrare segretamente l'audio dai microfoni delle vittime.

È opinione diffusa che APT37 sia un gruppo di hacker sponsorizzato dallo stato con una significativa esperienza nella conduzione di operazioni di spionaggio informatico in linea con gli interessi della Corea del Nord. I loro obiettivi hanno incluso disertori nordcoreani, istituzioni educative e organizzazioni con sede nell'Unione Europea.

Nelle campagne precedenti, questo gruppo ha utilizzato malware su misura come "Dolphin" e " M2RAT " per eseguire i propri attacchi informatici. Questi strumenti minacciosi sono stati specificamente progettati per infiltrarsi nei dispositivi Windows, inclusi i telefoni cellulari connessi, e facilitare varie attività dannose come l'esecuzione di comandi, il furto di dati, la raccolta di credenziali e l'acquisizione di schermate.

Un malware backdoor personalizzato fornisce la minaccia FadeStealer

I ricercatori di sicurezza hanno recentemente scoperto dettagli su un altro malware personalizzato utilizzato negli attacchi di APT37, noto come backdoor AblyGo. Insieme a FadeStealer, questi strumenti indesiderati sono progettati per infiltrarsi nei sistemi mirati e facilitare varie attività dannose.

Il metodo di consegna iniziale di questo malware prevede e-mail di phishing che contengono archivi allegati. Questi archivi sono costituiti da documenti protetti da password Word e Hangul Word Processor (file .docx e .hwp), insieme a un file CHM di Windows "password.chm". È molto probabile che le e-mail di phishing istruiscano i destinatari ad aprire il file CHM per ottenere la password necessaria per sbloccare i documenti. Tuttavia, all'insaputa delle vittime, questa azione attiva il processo di infezione sui loro dispositivi Windows.

All'apertura del file CHM, una richiesta ingannevole visualizzerà la presunta password per sbloccare i documenti. Contemporaneamente, il file scarica ed esegue in modo discreto uno script PowerShell remoto, che funge da backdoor con funzionalità avanzate. Questa backdoor di PowerShell stabilisce la comunicazione con i server Command-and-Control (C2) degli aggressori, consentendo loro di eseguire comandi sul sistema compromesso in remoto.

Inoltre, la backdoor facilita il dispiegamento di una backdoor aggiuntiva nota come "backdoor AblyGo" durante le fasi successive dell'attacco. Questa nuova backdoor sfrutta Ably Platform, un servizio API che gli sviluppatori utilizzano per incorporare funzionalità in tempo reale e consegna di informazioni nelle loro applicazioni. Utilizzando la piattaforma Ably come piattaforma C2, gli attori delle minacce possono inviare comandi con codifica base64 alla backdoor per l'esecuzione e ricevere l'output. Questo approccio consente loro di offuscare le loro attività dannose all'interno del traffico di rete legittimo, rendendo più difficile rilevare e monitorare le loro operazioni.

La "backdoor AblyGo" svolge un ruolo cruciale nella campagna di spionaggio informatico, consentendo agli attori delle minacce di condurre un'escalation dei privilegi, esfiltrare dati sensibili e fornire componenti malware aggiuntivi. Utilizzando piattaforme legittime come Ably, gli autori delle minacce mirano a eludere il monitoraggio della rete e il software di sicurezza, aumentando così l'efficacia dei loro attacchi.

Le capacità minacciose trovate nella minaccia FadeStealer

Le backdoor alla fine consegnano FadeStealer come payload finale. La minaccia è un potente malware per il furto di informazioni progettato specificamente per i dispositivi Windows. Una volta installato, FadeStealer impiega una tecnica chiamata DLL sideloading per inserirsi nel legittimo processo "ieinstall.exe" di Internet Explorer, camuffando efficacemente la sua presenza.

FadeStealer opera furtivamente in background, raccogliendo discretamente un'ampia gamma di informazioni sensibili dal dispositivo compromesso. A intervalli regolari di 30 minuti, il malware acquisisce screenshot dello schermo della vittima, registra le sequenze di tasti registrate e raccoglie file da qualsiasi smartphone connesso o dispositivo rimovibile. Inoltre, FadeStealer possiede la capacità di registrare l'audio attraverso il microfono del dispositivo, consentendo agli attori delle minacce dietro l'attacco di intercettare le conversazioni e raccogliere ulteriori informazioni.

I dati raccolti vengono archiviati in specifiche cartelle %Temp%, ciascuna con uno scopo distinto all'interno del processo di esfiltrazione dei dati. Gli screenshot acquisiti dal malware vengono archiviati nella cartella %temp%\VSTelems_Fade\NgenPdbc, mentre le sequenze di tasti registrate vengono archiviate in %temp%\VSTelems_Fade\NgenPdbk. La cartella %temp%\VSTelems_Fade\NgenPdbm è dedicata alla memorizzazione dei dati ottenuti tramite intercettazioni microfoniche. Inoltre, la cartella %temp%\VSTelems_FadeIn viene utilizzata per raccogliere i dati dagli smartphone connessi, mentre la cartella %temp%\VSTelems_FadeOut funge da posizione di archiviazione per i dati raccolti dai dispositivi multimediali rimovibili. Queste cartelle specifiche assicurano che i dati raccolti siano organizzati e accessibili agli attori delle minacce che orchestrano la campagna di spionaggio informatico.

Per mantenere l'efficienza e facilitare l'archiviazione dei dati, FadeStealer raccoglie le informazioni rubate nei file di archivio RAR. Ciò consente al malware di comprimere e organizzare i dati rubati, assicurando che rimangano nascosti e facilmente trasportabili per la successiva esfiltrazione da parte degli autori delle minacce.