Preventivo sconto multi-licenza
Database delle minacce Phishing RATTO FANTAMPULSO

RATTO FANTAMPULSO

Entro Mezo nel Phishing, Strumenti di amministrazione remota
Traduci in:

È emersa una sofisticata campagna di ingegneria sociale che sfrutta Obsidian come vettore di accesso iniziale per diffondere un trojan di accesso remoto per Windows precedentemente sconosciuto, noto come PHANTOMPULSE. La campagna prende di mira in particolare individui che operano nei settori finanziario e delle criptovalute, facendo leva sulla fiducia riposta in strumenti legittimi per eludere le tradizionali misure di sicurezza.

Operazione REF6598: Inganno tramite reti professionali

Questa campagna, denominata REF6598 dai ricercatori di sicurezza informatica, impiega tecniche avanzate di ingegneria sociale tramite LinkedIn e Telegram. Le vittime vengono inizialmente contattate con il pretesto di una collaborazione con una società di venture capital. Le conversazioni si spostano poi in chat di gruppo su Telegram, popolate da "partner" impersonati, creando una convincente facciata di legittimità.

All'interno di questi gruppi, le discussioni vertono su servizi finanziari e strategie di liquidità delle criptovalute, rafforzando la credibilità. Alle vittime viene infine chiesto di accedere a una dashboard condivisa tramite un vault Obsidian ospitato nel cloud, utilizzando le credenziali fornite.

Il fattore scatenante nascosto: l’attivazione malevola del caveau.

La catena di infezione si attiva quando la vittima apre il vault condiviso all'interno di Obsidian. A questo punto, all'utente viene richiesto di abilitare la sincronizzazione per i "Plugin della community installati", una funzionalità disabilitata per impostazione predefinita. Questa azione manuale è fondamentale, poiché consente l'esecuzione di configurazioni dannose incorporate.

Gli aggressori sfruttano plugin legittimi, in particolare Shell Commands e Hider, per eseguire codice non autorizzato. Mentre Shell Commands facilita l'esecuzione, Hider nasconde elementi dell'interfaccia come la barra di stato e i tooltip, riducendo la probabilità di rilevamento. L'attacco si basa interamente sul convincere l'utente ad abilitare la sincronizzazione dei plugin, aggirando così le misure di sicurezza integrate.

Elusione pianificata: vivere sfruttando elementi legittimi

Questa campagna si distingue per l'abuso strategico di funzionalità affidabili dell'applicazione, piuttosto che per lo sfruttamento di vulnerabilità del software. Le caratteristiche principali includono:

  • I payload dannosi sono incorporati nei file di configurazione JSON, il che riduce la probabilità che vengano rilevati dai tradizionali antivirus.
  • L'esecuzione avviene tramite un'applicazione firmata basata su Electron, il che complica il rilevamento basato sul processo padre.
  • La persistenza e l'esecuzione dei comandi dipendono interamente da meccanismi di plugin legittimi all'interno dell'applicazione.

Catena di infezione di Windows: dal loader alla backdoor residente in memoria

Sui sistemi Windows, l'attacco avvia una catena di esecuzione basata su PowerShell che distribuisce un caricatore intermedio denominato PHANTOMPULL. Questo caricatore decifra e avvia PHANTOMPULSE direttamente in memoria, eludendo il rilevamento da parte del disco.

PHANTOMPULSE integra un sistema di comando e controllo (C2) basato su blockchain, interrogando la rete Ethereum. Recupera l'ultima transazione associata a un indirizzo di portafoglio predefinito per determinare dinamicamente il proprio server C2. La comunicazione avviene tramite WinHTTP, consentendo l'esfiltrazione dei dati, il recupero dei comandi e la segnalazione dell'esecuzione.

Il malware supporta un'ampia gamma di funzionalità di controllo remoto:

  • inject: inietta shellcode, DLL o eseguibili nei processi
  • drop: scrive ed esegue file su disco
  • screenshot: cattura e carica i dati dello schermo
  • keylog: abilita o disabilita la registrazione della pressione dei tasti
  • disinstallazione: rimuove i meccanismi di persistenza e pulisce i file residui
  • elevazione: innalza i privilegi a SYSTEM utilizzando l'elevazione COM
  • downgrade: riduce i privilegi dal livello SYSTEM al livello di amministratore

Variante macOS: offuscamento e infrastruttura C2 flessibile

Su macOS, l'attacco sfrutta uno script AppleScript offuscato, distribuito tramite lo stesso meccanismo di plugin. Lo script scorre un elenco predefinito di domini e utilizza Telegram come server di backup per la scoperta del server C2. Questa configurazione consente una rapida rotazione dell'infrastruttura, rendendo inefficaci le tradizionali strategie di blocco dei domini.

La fase finale prevede il recupero e l'esecuzione di un payload secondario tramite osascript. Tuttavia, a causa dell'inattività dei server C2 al momento dell'analisi, le reali capacità di questo payload rimangono sconosciute.

Esito dell’attacco e implicazioni strategiche

L'intrusione osservata si è rivelata in definitiva infruttuosa, poiché le misure difensive hanno rilevato e bloccato l'attacco prima che gli obiettivi venissero raggiunti. Ciononostante, REF6598 evidenzia una significativa evoluzione nella metodologia degli attori delle minacce.

Sfruttando applicazioni affidabili e facendo affidamento su modifiche di configurazione apportate dagli utenti, gli aggressori aggirano efficacemente i controlli di sicurezza convenzionali. Questo approccio evidenzia una tendenza in crescita: l'utilizzo di funzionalità software legittime come canali di esecuzione occulti, sottolineando la necessità di una maggiore consapevolezza degli utenti e di un monitoraggio comportamentale più accurato nelle difese di sicurezza informatica.

Tendenza

I più visti

Caricamento in corso...