PowerPepper Malware

PowerPepper è una nuova minaccia malware backdoor osservata come parte delle operazioni di un gruppo di minacce persistenti avanzate (APT) chiamato DeathStalker. Si ritiene che questo particolare APT agisca come un mercenario e offra i suoi servizi al miglior offerente. Il gruppo è stato rilevato per la prima volta nel 2018, ma si ritiene che sia stato istituito molto prima. Gli hacker di DeathStalker sono specializzati principalmente nella realizzazione di campagne di spionaggio e furto di dati mirate a entità europee. Tuttavia, sono state identificate anche vittime di DeathStalker dal Nord e Sud America, così come dall'Asia. Il toolkit malware del gruppo è costituito da minacce relativamente non così sofisticate, ma mostra alti livelli di efficacia.

PowerPepper si adatta abbastanza bene a questa descrizione. La minaccia è in grado di svolgere potenti attività backdoor in quanto può eseguire comandi shell remoti ricevuti dalla sua infrastruttura Command-and-Control (C&C, C2). La minaccia può eseguire una vasta gamma di funzioni di spionaggio sulla macchina compromessa, inclusa la raccolta di varie informazioni su utenti e file, la navigazione in condivisioni di file di rete, il recupero di binari aggiuntivi danneggiati e l'esfiltrazione dell'infrastruttura C2 dei dati. Si ritiene che il vettore di compromesso iniziale sia la distribuzione di e-mail di spear-phishing. I file malware iniziali possono essere allegati al corpo dell'e-mail o nascosti dietro collegamenti danneggiati.

L'aspetto più impressionante di PowerPepper è la moltitudine di tecniche di evasione che ha a sua disposizione. Innanzitutto, salta HTTPS e utilizza invece DNS come canale di comunicazione con i suoi server C2. Il malware invia richieste DNS di tipo TXT e, in cambio, ha ricevuto una risposta DNS con un comando crittografato incorporato. PowerPepper sfrutta anche una tecnica di steganografia: parti del codice danneggiato della minaccia sono nascoste all'interno di file di immagine apparentemente innocui. Quelli usati dalla minaccia raffigurano felci o peperoni (il motivo del nome dato a questa particolare backdoor). Lo script del caricatore incaricato di estrarre le informazioni dai file di immagine è, a sua volta, mascherato da strumento di verifica da GlobalSign, un fornitore di servizi di identità.

Inoltre, PowerPepper utilizza offuscamento personalizzato, comunicazioni crittografate e utilizza script firmati che potrebbero ingannare il software anti-malware. DeathStalker ha inoltre dotato il suo nuovo strumento backdoor per filtrare gli indirizzi MAC dei client, la gestione delle applicazioni Excel e una funzione responsabile del rilevamento del movimento del mouse.