GHOSTFORM RAT
GHOSTFORM è un trojan di accesso remoto (RAT) basato su .NET, progettato per combinare diverse funzionalità dannose in un unico file binario eseguibile. Il malware esegue script di PowerShell direttamente in memoria, riducendo la probabilità di essere rilevato dagli strumenti di sicurezza tradizionali. Per eludere ulteriormente i meccanismi di sicurezza, utilizza tecniche come moduli di Windows invisibili e timer di esecuzione ritardata. Grazie al suo comportamento furtivo e alle sue ampie capacità, qualsiasi rilevamento di GHOSTFORM dovrebbe innescare procedure di rimozione immediata e di risposta agli incidenti.
Sommario
Catena di attacco uno: distribuzione di malware in più fasi
La prima catena di attacchi inizia con la distribuzione di un archivio RAR protetto da password contenente un'applicazione fittizia progettata per assomigliare a WinRAR. Quando la vittima apre l'archivio, viene eseguito un dropper noto come SPLITDROP. Questo dropper installa due componenti malware aggiuntivi: TWINTASK e TWINTALK.
SPLITDROP richiede inizialmente una password alla vittima per estrarre un archivio nascosto. Se l'archivio è già presente sul sistema, l'esecuzione si interrompe. In caso contrario, il dropper decifra in background un payload incorporato, visualizzando al contempo un messaggio di errore ingannevole. Il contenuto decifrato viene archiviato nella directory 'C:\ProgramData\PolGuid', dopodiché viene avviato un eseguibile legittimo denominato VLC.exe per proseguire l'attacco.
Una volta eseguito, VLC.exe carica una libreria a collegamento dinamico dannosa denominata TWINTASK tramite il sideload di DLL. Questo componente attende le istruzioni dell'aggressore e le esegue tramite PowerShell. Diversi comandi vengono utilizzati specificamente per stabilire la persistenza all'interno del sistema e avviare la fase successiva della compromissione. Come parte di questo processo, uno script avvia WingetUI.exe e crea voci di registro che garantiscono l'esecuzione automatica sia di VLC.exe che di WingetUI.exe al riavvio del sistema.
TWINTALK e TWINTASK: esecuzione coordinata dei comandi
Quando WingetUI.exe viene eseguito, carica un altro modulo dannoso noto come TWINTALK. Questo componente si connette al server di comando e controllo dell'aggressore e recupera le istruzioni. TWINTALK collabora con TWINTASK per eseguire comandi sul computer compromesso.
TWINTALK supporta tre categorie di comandi principali:
- Esecuzione del comando sul dispositivo infetto
- Download di file dall'infrastruttura dell'attaccante
- Caricamento di file dal sistema compromesso all'attaccante
Grazie a queste capacità, gli aggressori ottengono un controllo completo sull'ambiente infetto.
Attacco a catena due: esecuzione diretta di GHOSTFORM
La seconda catena di attacco utilizza GHOSTFORM stesso per eseguire tutte le funzioni gestite dai vari componenti della prima catena. Invece di distribuire più file o di affidarsi al sideload delle DLL, questa variante esegue i comandi di PowerShell direttamente in memoria.
Per passare inosservato, il malware crea un modulo Windows invisibile che ritarda l'esecuzione prima dell'esecuzione del payload. Inoltre, la campagna utilizza Google Forms come parte di un'esca di ingegneria sociale per indurre le vittime a iniziare l'attività dannosa.
Tecniche di evasione e persistenza
GHOSTFORM incorpora molteplici meccanismi progettati per ridurre la possibilità di rilevamento e mantenere l'accesso a lungo termine ai sistemi compromessi. Il malware ritarda deliberatamente la sua attività generando un modulo Windows quasi invisibile che esegue un timer con un ritardo determinato casualmente prima di continuare l'esecuzione.
Crea inoltre un mutex per garantire che una sola istanza del malware venga eseguita sul sistema e genera un identificatore bot univoco per tracciare le macchine infette. I trojan di accesso remoto di questo tipo sono comunemente utilizzati per distribuire payload aggiuntivi, rubare dati e file sensibili o eseguire altre operazioni dannose all'interno dell'ambiente della vittima.
Le principali funzionalità comunemente associate alla campagna includono:
- Distribuzione di payload malware aggiuntivi
- Furto di informazioni e file da dispositivi infetti
- Esecuzione di comandi remoti tramite PowerShell
- Persistenza a lungo termine all'interno dei sistemi compromessi
ClickFix Social Engineering: vettore di infezione incentrato sull’uomo
La campagna non si basa esclusivamente sulla distribuzione di malware. Incorpora anche una tecnica di ingegneria sociale nota come ClickFix per compromettere i sistemi. Gli aggressori creano pagine web false e convincenti, progettate per manipolare gli utenti e indurli a eseguire comandi dannosi.
Tra gli esempi rientrano inviti falsificati a riunioni Cisco Webex o moduli web fraudolenti che sembrano legittimi. Alle vittime viene chiesto di eseguire comandi che scaricano ed eseguono automaticamente malware, avviando inconsapevolmente la compromissione.
Combinazione di malware e inganno
Questa campagna dimostra un approccio coordinato che combina l'implementazione tecnica del malware con la manipolazione psicologica. Gli aggressori distribuiscono file dannosi mascherati da programmi innocui simili alle utility WinRAR. Una volta aperti, i file iniettano componenti malware nascosti nel sistema operativo.
Una volta installato, uno dei componenti viene eseguito silenziosamente in background, controllando periodicamente il server dell'aggressore alla ricerca di istruzioni crittografate ed eseguendole tramite PowerShell. Parallelamente, gli attacchi in stile ClickFix si basano su falsi sondaggi, inviti a riunioni ingannevoli o moduli online fraudolenti per indurre gli utenti a eseguire comandi che attivano il download di malware.
Combinando strumenti malware avanzati come TWINTASK, TWINTALK e GHOSTFORM con tecniche di ingegneria sociale attentamente studiate, gli autori delle minacce aumentano significativamente il tasso di successo della compromissione del sistema e mantengono un controllo remoto persistente sui dispositivi infetti.
