SVC Pronto

I criminali informatici utilizzano un caricatore di malware precedentemente sconosciuto distribuito tramite attacchi di phishing. I dettagli sulla minaccia e le relative campagne di attacco sono stati rivelati al pubblico in un rapporto di HP. Secondo i risultati dei ricercatori, la minaccia tracciata come SCVReady utilizza una tecnica insolita quando viene caricata sul dispositivo della vittima. Va notato che, sebbene la minaccia non possa essere attribuita in modo definitivo a uno specifico gruppo APT, esistono alcuni collegamenti tra la campagna di attacco e le precedenti operazioni minacciose effettuate dal gruppo TA551 (Shatack).

SVCReady è distribuito all'interno di file Word avvelenati allegati alle e-mail di richiamo. I file danneggiati utilizzano ancora le macro VBA per eseguire lo shellcode, che a sua volta fornisce il carico utile da una posizione remota. Tuttavia, nel caso di SVCReady, le macro VBA e lo shellcode sono divisi, con gli aggressori che nascondono lo shellcode compromesso all'interno delle proprietà del file. Una volta che la minaccia è stata implementata nel sistema, eseguirà prima la raccolta di informazioni iniziali tramite query del Registro di sistema e chiamate API di Windows. I dati acquisiti verranno quindi trasmessi a un server Command-and-Control (C2, C&C). La comunicazione tra le versioni successive della minaccia e il suo server C2 è crittografata RC4.

Il caricatore cercherà inoltre di accertare se viene eseguito all'interno di un ambiente virtualizzato eseguendo due query WMI. A seconda dei risultati, SVCReady potrebbe entrare in un sonno di 30 minuti. Per quanto riguarda il suo meccanismo di persistenza, la minaccia creerà un'attività pianificata e una nuova chiave di registro sul sistema violato. Tuttavia, l'implementazione di questa funzionalità è attualmente imperfetta e porta a errori che impediscono l'avvio del malware dopo un riavvio. Questa funzionalità potrebbe essere corretta in una delle prossime versioni, poiché i ricercatori di HP notano che SVCReady è ancora in fase di sviluppo attivo. Gli attori delle minacce possono indicare al malware di acquisire schermate arbitrarie, eseguire comandi di shell, eseguire un file scelto o recuperare ulteriori payload minacciosi.