Operazione Attacco SteganoAmor
Il gruppo di hacker TA558 ha avviato una nuova campagna, utilizzando la steganografia per incorporare codice dannoso nelle immagini. Questa tecnica consente loro di distribuire clandestinamente una serie di strumenti malware su sistemi specifici, eludendo il rilevamento sia da parte degli utenti che del software di sicurezza.
Dal 2018, TA558 rappresenta una minaccia significativa, prendendo di mira principalmente gli enti del settore alberghiero e turistico in tutto il mondo, con particolare attenzione all’America Latina. Recentemente, gli esperti di sicurezza informatica hanno svelato il loro ultimo sforzo, chiamato "SteganoAmor", evidenziando la sua forte dipendenza dalla steganografia. L’analisi ha rivelato più di 320 attacchi associati a questa campagna, che hanno avuto un impatto su diversi settori e paesi.
Sommario
SteganoAmor inizia con la diffusione di email fraudolente
L’attacco inizia con e-mail ingannevoli che contengono allegati di documenti apparentemente innocui, in genere in formato Excel o Word, sfruttando la vulnerabilità CVE-2017-11882. Questo difetto, che ha interessato Microsoft Office Equation Editor ed è stato corretto nel 2017, funge da obiettivo comune. Queste e-mail vengono inviate da server SMTP compromessi per migliorarne la legittimità e ridurre la probabilità di essere bloccate.
Nei casi in cui è in uso una versione obsoleta di Microsoft Office, l'exploit attiva il download di uno script Visual Basic (VBS) dal servizio legittimo "incolla all'apertura del file.ee". Successivamente, questo script viene eseguito per recuperare un file immagine (JPG) contenente un payload codificato in base 64. All'interno dello script incorporato nell'immagine, il codice PowerShell facilita il recupero del payload finale, nascosto in un file di testo e codificato in formato base64 invertito.
Numerose minacce dannose utilizzate come carico utile finale
I ricercatori hanno osservato numerose iterazioni della catena di attacco, ciascuna delle quali introduce una vasta gamma di famiglie di malware. Tra questi ci sono AgentTesla , che funziona come spyware capace di keylogging e furto di credenziali; FormBook, specializzato nella raccolta di credenziali ed esecuzione di comandi remoti; Remcos , che consente la gestione e la sorveglianza remota delle macchine; LokiBot , che prende di mira i dati sensibili di varie applicazioni; Gulo a der, che funge da downloader per payload secondari, Snake Keylogger , che cattura sequenze di tasti e credenziali e XWorm , che garantisce l'accesso remoto ai computer compromessi.
I payload finali e gli script fraudolenti spesso trovano rifugio in servizi cloud affidabili come Google Drive per sfruttare la loro reputazione favorevole ed eludere il rilevamento anti-malware. Le informazioni raccolte vengono trasmesse a server FTP legittimi compromessi, mascherando il traffico in modo che appaia normale. Sono stati identificati oltre 320 attacchi, concentrati principalmente sui paesi dell’America Latina, anche se il raggio d’azione degli attacchi si estende a livello globale.
Il phishing rimane uno strumento estremamente potente nell’arsenale dei criminali informatici
Gli esperti di infosec hanno portato alla luce una serie di attacchi di phishing lanciati da criminali informatici contro organizzazioni governative in Russia, Bielorussia, Kazakistan, Uzbekistan, Kirghizistan, Tagikistan e Armenia. Questi attacchi distribuiscono un malware chiamato LazyStealer, progettato specificamente per estrarre credenziali da Google Chrome. I ricercatori stanno monitorando questa serie di attacchi, noti collettivamente come Lazy Koala, dal nome del presunto controllore dei bot di Telegram che ricevono i dati rubati.
Inoltre, l'analisi dei dati demografici delle vittime e delle caratteristiche del malware suggerisce potenziali collegamenti con un altro gruppo di hacker noto come YoroTrooper (noto anche come SturgeonPhisher). Lo strumento principale utilizzato da questo gruppo è un ladro rudimentale, che impiega misure protettive per eludere il rilevamento, ostacolare l'analisi, raccogliere tutti i dati rubati e trasmetterli tramite Telegram. Telegram è stato sempre più preferito dagli autori malintenzionati come mezzo di comunicazione sicuro.
