Threat Database Malware Malware SLUB

Malware SLUB

Il malware SLUB è una minaccia backdoor scritta in linguaggio C ++. Il suo nome deriva dalla combinazione di Slack e GitHube, entrambi servizi legittimi che sono stati abusati dalla minaccia come parte della sua infrastruttura di comando e controllo. SLUB abusa di varie vulnerabilità come vettore di attacco per ottenere l'accesso ai computer presi di mira. La catena di attacco è complessa e coinvolge più fasi e payload.

Dopo aver sfruttato con successo una vulnerabilità come punto di accesso, un file DLL che funge da caricatore viene rilasciato sul dispositivo compromesso. Questo downloader di prima fase viene quindi eseguito tramite PowerShell per fornire il payload effettivo del malware SLUB. Il caricatore esegue anche un controllo dei programmi anti-malware installati sul dispositivo di destinazione scansionandolo in base a un elenco predefinito. Se viene trovata una corrispondenza, il malware interrompe la sua esecuzione.

Una volta distribuito completamente, il malware SLUB fornisce agli hacker un controllo significativo del dispositivo. Possono quindi emettere comandi arbitrari per eseguire un'ampia gamma di attività minacciose. SLUB può acquisire schermate, manipolare il file system, eseguire comandi, elencare e terminare processi e modificare il registro del computer.

SLUB abbandona Slack e GitHub e ora sfrutta Mattermost

L'ultima versione SLUB da distribuire in una campagna in stile water-hole non utilizza più Slack o GitHub nella sua struttura C2. Invece, gli hacker hanno scelto di abusare di un servizio di chat online open source chiamato Mattermost. Questo servizio di chat viene utilizzato come un modo per tenere traccia della campagna SLUB creando un canale separato per ogni vittima infetta.

L'obiettivo degli hacker è quello di compromettere i siti Web legittimi e costringerli a ospitare e distribuire malware. La campagna coinvolge cinque diversi server C2 e sfrutta quattro nuove vulnerabilità. Gli utenti di Chrome vengono reindirizzati a una versione proof of concept armata della vulnerabilità CVE-2019-5782 di Google Chrome, nonché a una vulnerabilità che al momento non ha una designazione assegnata. Attraverso gli exploit, tre payload malware separati vengono rilasciati sul computer di destinazione, uno dei quali è il malware SLUB. Mentre il lato Chrome della campagna di attacco utilizza lo shellcode, PowerShell viene invece utilizzato quando si tratta di Internet Explorer. Anche la vulnerabilità abusata è, ovviamente, diversa: CVE-2020-0674.

Tendenza

I più visti

Caricamento in corso...