Malware IMAPLoader

Il gruppo di minacce informatiche Tortoiseshell, collegato all’Iran, è stato collegato a una recente ondata di attacchi ai wateringhole. Questi attacchi mirano a scatenare un ceppo di malware noto come IMAPLoader.

IMAPLoader, classificato come malware .NET, possiede la capacità di profilare i sistemi di destinazione tramite strumenti Windows nativi. La sua funzione principale è quella di fungere da downloader per ulteriori payload dannosi. Il malware utilizza la posta elettronica come canale di comando e controllo (C2, C&C), consentendogli di eseguire payload recuperati dagli allegati di posta elettronica. Inoltre, avvia l’esecuzione attraverso l’implementazione di nuovi servizi.

Tortoiseshell è un attore minaccioso associato a numerose campagne di attacco

Operativo almeno dal 2018, Tortoiseshell ha una comprovata esperienza nell'impiego di compromessi strategici di siti Web per facilitare la distribuzione di malware. All'inizio del 2023, i ricercatori hanno identificato il gruppo come responsabile della violazione di otto siti Web collegati a società di spedizioni, logistica e servizi finanziari in Israele.

Questo autore di minacce è associato al Corpo delle guardie rivoluzionarie islamiche (IRGC). È riconosciuto dalla più ampia comunità di sicurezza informatica con vari nomi, tra cui Crimson Sandstorm (in precedenza Curium), Imperial Kitten, TA456 e Yellow Liderc.

Nella recente ondata di attacchi durata dal 2022 al 2023, il gruppo ha utilizzato la tattica di incorporare JavaScript minaccioso in siti Web legittimi compromessi. Questo approccio mirava a raccogliere informazioni dettagliate sui visitatori, compresa la loro posizione, i dettagli del dispositivo e i tempi delle loro visite.

Gli obiettivi specifici di queste intrusioni erano i settori marittimo, marittimo e logistico nella regione del Mediterraneo. In alcuni casi, questi attacchi hanno portato all’implementazione di IMAPLoader come payload successivo, soprattutto quando la vittima era considerata un obiettivo di alto valore.

Il malware IMAPLoader è un componente essenziale in una catena di attacco a più fasi

Si dice che IMAPLoader sostituisca un impianto IMAP Tortoiseshell basato su Python precedentemente utilizzato tra la fine del 2021 e l'inizio del 2022, a causa delle somiglianze nella funzionalità. Il malware funge da downloader per i payload della fase successiva interrogando gli account di posta elettronica IMAP codificati, controllando in particolare una cartella della casella di posta scritta erroneamente come "Recive" per recuperare gli eseguibili dagli allegati dei messaggi.

In una catena di attacco alternativa, un documento esca di Microsoft Excel viene utilizzato come vettore iniziale per avviare un processo in più fasi per fornire ed eseguire IMAPLoader, indicando che l'autore della minaccia sta utilizzando numerose tattiche e tecniche per realizzare i propri obiettivi strategici.

I ricercatori hanno anche scoperto siti di phishing creati da Tortoiseshell, alcuni dei quali mirati ai settori dei viaggi e dell'ospitalità in Europa, per condurre la raccolta di credenziali utilizzando false pagine di accesso di Microsoft.

Questo attore di minacce rimane una minaccia attiva e persistente per molte industrie e paesi, compresi i settori marittimo, marittimo e logistico nel Mediterraneo; i settori nucleare, aerospaziale e della difesa negli Stati Uniti e in Europa e i fornitori di servizi gestiti da IT in Medio Oriente. Questi aggiornamenti spesso includono correzioni cruciali per le vulnerabilità che potrebbero essere sfruttate dai criminali informatici. La convalida degli aggiornamenti automatici è un modo conveniente per garantire che il tuo dispositivo sia protetto contro le minacce emergenti.