Malware HTTPSnoop

Un’ondata di attacchi informatici contro i fornitori di servizi di telecomunicazione in Medio Oriente è stata collegata alla diffusione di nuovi ceppi di malware noti come HTTPSnoop e PipeSnoop. Questi strumenti minacciosi consentono agli autori delle minacce di ottenere il controllo remoto sui dispositivi compromessi.

Il malware HTTPSnoop sfrutta i driver e i dispositivi del kernel HTTP di Windows per eseguire contenuti specifici sugli endpoint infetti tramite URL HTTP(S). D'altra parte, PipeSnoop è progettato per ricevere ed eseguire shellcode arbitrari attraverso una pipe denominata.

Secondo un rapporto pubblicato dai ricercatori di sicurezza informatica che hanno scoperto con successo questa campagna di attacco, sia HTTPSnoop che PipeSnoop sono attribuiti allo stesso gruppo di intrusione, identificato come "ShroudedSnooper". Tuttavia, le due minacce hanno scopi operativi distinti in termini di livello di infiltrazione.

Il malware HTTPSnoop esegue azioni specializzate per gli aggressori

HTTPSnoop utilizza API Windows di basso livello per monitorare il traffico HTTP(S) su un dispositivo infetto, prendendo di mira specificamente gli URL predefiniti. Dopo aver rilevato questi URL, il malware procede a decodificare i dati in arrivo con codifica Base64 e ad eseguirli come shellcode sull'host compromesso.

Questo impianto non sicuro, attivato sul sistema di destinazione tramite il dirottamento DLL, comprende due componenti chiave: in primo luogo, lo shellcode di fase 2, responsabile della creazione di un server Web backdoor tramite chiamate al kernel e, in secondo luogo, la sua configurazione.

HTTPSnoop stabilisce un ciclo di ascolto, attende pazientemente le richieste HTTP in arrivo ed elabora in modo efficiente i dati validi al loro arrivo. Nei casi in cui i dati in ingresso non sono validi, il malware restituisce un reindirizzamento HTTP 302.

Dopo la decrittografia, lo shellcode ricevuto viene immediatamente eseguito e i risultati dell'esecuzione vengono ritrasmessi agli aggressori sotto forma di blocchi di dati con codifica XOR con codifica base64.

Inoltre, questo impianto adotta precauzioni per evitare conflitti con gli URL precedentemente configurati sul server, garantendo un funzionamento regolare senza conflitti involontari.

Gli esperti hanno scoperto diverse varianti del malware HTTPSnoop

Finora sono state osservate tre varianti distinte di HTTPSnoop, ciascuna delle quali utilizza modelli di ascolto URL unici. La prima variante monitora le richieste generali basate su URL HTTP, mentre la seconda variante si concentra sugli URL che imitano il servizio Web Microsoft Exchange. La terza variante, invece, prende di mira gli URL che emulano le applicazioni LBS/OfficeTrack e di telefonia di OfficeCore.

Queste varianti sono state scoperte nell'aprile 2023 e, in particolare, la più recente ha un numero ridotto di URL monitorati, probabilmente per migliorare le sue capacità invisibili.

Imitando modelli URL legittimi associati ai servizi Web Microsoft Exchange e OfficeTrack, queste richieste fraudolente assomigliano molto al traffico benigno, rendendo estremamente difficile distinguerle dalle richieste legittime.

Il panorama in continua evoluzione del malware rappresenta una minaccia formidabile e persistente nella nostra era digitale. Il malware non è semplicemente un fastidio, ma un formidabile avversario in grado di devastare individui, organizzazioni e persino nazioni. Vigilanza, istruzione e solide misure di sicurezza informatica sono le nostre migliori difese contro questa minaccia implacabile. Rimanere informati e adottare le migliori pratiche in materia di sicurezza online non è solo una scelta; è una necessità per salvaguardare le nostre vite digitali e preservare l'integrità del nostro mondo interconnesso.