Licenze multi-dispositivo (sconti per quantità)

Cambia regione

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Trojan Downloader SkinnyBoy Malware

SkinnyBoy Malware

Entro CagedTech nel Trojan Downloader
Traduci in:
Italiano

Gli esperti di Infosec della società di ricerca sulle minacce Cluster 25 hanno scoperto una nuova campagna di spear-phishing sfruttata contro entità strategiche. Come parte della catena di attacco, i ricercatori hanno scoperto una nuova minaccia malware che fungeva da downloader intermedio incaricato di fornire il payload minaccioso finale sui sistemi violati. Chiamato SkinnyBoy, il malware è stato attribuito a far parte dell'arsenale dannoso della banda APT28 di lingua russa. Questo particolare attore di minacce viene anche attaccato con i nomi di Fancybear, Sednit, Strontium, PwnStorm e Sofacy.

Caratteristiche del ragazzo magro

L'attacco SkinnyBoy inizia con la consegna di e-mail di phishing esca. Le vittime ricevono un falso invito per un evento scientifico internazionale che dovrebbe svolgersi in Spagna, alla fine di luglio. In allegato all'e-mail c'è un documento Microsoft armato contenente una macro danneggiata. Alla sua attivazione, la macro estrae un downloader di malware sotto forma di file DLL.

SkinnyBoy viene consegnato accanto al sistema infetto. La minaccia arriva come un file denominato 'tpd1.exe.' Una volta avviato, SkinnyBoy tenta di stabilire un meccanismo di persistenza creando un file LNK nella cartella di avvio di Windows. Ogni volta che il sistema compromesso viene riavviato, il LNK viene attivato e inizia a cercare il file di payload SkinnyBoy principale 'TermSrvClt.dll.' Lo fa eseguendo la scansione dell'hash SHA256 di ogni file archiviato nella posizione C:\Users\%username%\AppData\Local.

Il compito principale svolto da SkinnyBoy è la consegna del payload finale sui sistemi infetti. Mentre è presente nel sistema, tuttavia, la minaccia raccoglierà anche informazioni specifiche sfruttando gli strumenti di Windows 'syteminfo.exe' e 'tasklist.exe.' I dati vengono raccolti dai seguenti file e posizioni:

  • C:\Utenti\%nomeutente%\Desktop
  • C:\Programmi - C:\Programmi (x86)
  • C:\Utenti\%nomeutente%\AppData\Roaming\Microsoft\Windows\Menu Start\Programmi\Strumenti di amministrazione
  • C:\Utenti\%nomeutente%\AppData\Roaming
  • C:\Utenti\%nomeutente%\AppData\Roaming\Microsoft\Windows\Templates
  • C:\Windows - C:\Utenti\utente\AppData\Local\Temp

Le informazioni raccolte da SkinnyBoy vengono quindi organizzate, codificate in formato base64 ed esfiltrate ai server Command-and-Control dell'operazione.

Vittime di ragazzi magri

Il malware SkinnyBoy è stato finora distribuito contro un ampio insieme di potenziali vittime. Sembra che APT28 stia prendendo di mira principalmente agenzie governative come ministeri degli affari esteri, entità dell'industria della difesa, ambasciate e organizzazioni del settore militare. Sebbene molte delle vittime si trovassero nell'Unione europea, l'APT28 potrebbe operare su scala più ampia con l'attacco che potrebbe avere un impatto anche sulle organizzazioni statunitensi.

Tendenza

I più visti

Caricamento in corso...