PasseroPorta

SparrowDoor è la principale minaccia utilizzata da un gruppo APT (Advanced Persistent Threat) recentemente scoperto e tracciato come FamousSparrow . Gli hacker sembrano prendere di mira gli hotel di tutto il mondo con l'intenzione di sottrarre dati. In diverse occasioni, FamousSparrow ha anche compromesso società di ingegneria, studi legali e organizzazioni governative.

La distribuzione di SparrowDoor

La backdoor SparrowDoor viene consegnata alla macchina della vittima tramite un caricatore che utilizza il dirottamento della DLL. Il caricatore utilizza tre elementi: un file eseguibile legittimo di K& Computing (Indexer.exe), un file DLL danneggiato (K7UI.dll) e uno shellcode crittografato (MpSvc.dll). Tutti e tre vengono rilasciati nella cartella %PROGRAMDATA%\Software\.

Per stabilire la persistenza, SparrowDoor si basa su una chiave di esecuzione del registro e su un servizio creato e avviato utilizzando i dati di configurazione codificati nel codice binario del malware. Successivamente, tenta di aumentare i suoi privilegi regolando il token di accesso del suo processo. Il passaggio finale include l'invio dei dati di sistema al server Command-and-Control (C2, C&C) e quindi l'attesa dei comandi in arrivo.

Funzionalità minacciosa

SparrowDoor riconosce oltre 10 comandi diversi. Può manipolare il file system sulla macchina compromessa, creando, rinominando ed eliminando file. Inoltre, consente di esfiltrare vari dati sul server, comprese le informazioni sui file (attributi del file, dimensione del file e tempo di scrittura del file) e il contenuto dei file specificati. Il malware può terminare i processi correnti e stabilire una shell inversa interattiva. Se gli hacker hanno bisogno di mascherare le loro tracce, possono istruire SparrowDoor a rimuovere il suo meccanismo di persistenza ed eliminare i suoi file.