Preventivo sconto multi-licenza
Database delle minacce Phishing Campagna di phishing VENOMOUS#HELPER

Campagna di phishing VENOMOUS#HELPER

Entro Mezo nel Phishing
Traduci in:

Una sofisticata campagna di phishing, identificata come VENOMOUS#HELPER, è attiva almeno dall'aprile 2025 e prende di mira molteplici vettori di attacco attraverso l'abuso di strumenti legittimi di monitoraggio e gestione remota (RMM). Più di 80 organizzazioni, prevalentemente negli Stati Uniti, sono state colpite. L'attività si sovrappone a cluster precedentemente documentati noti come STAC6405. Sebbene l'attribuzione rimanga incerta, i modelli operativi sono fortemente allineati con quelli di Initial Access Broker (IAB) o gruppi precursori di ransomware motivati da interessi economici, che cercano di stabilire delle basi per un successivo sfruttamento.

Affidarsi a strumenti di fiducia: l’abuso di software RMM legittimi

Anziché utilizzare software palesemente dannoso, gli aggressori si affidano a versioni personalizzate di strumenti legittimi come SimpleHelp e ConnectWise ScreenConnect. Poiché queste applicazioni sono comunemente utilizzate in ambienti aziendali, la loro presenza spesso elude i tradizionali controlli di sicurezza e non desta sospetti.

L'impiego simultaneo di entrambi gli strumenti è una tattica deliberata. Stabilendo due canali di accesso remoto, gli aggressori garantiscono la resilienza operativa. Se una connessione viene rilevata e neutralizzata, il secondo canale rimane attivo, consentendo l'accesso non autorizzato senza interruzioni.

Punto di ingresso per il phishing: ingegneria sociale con un travestimento credibile.

La catena di attacco inizia con un'e-mail di phishing accuratamente creata che impersona l'Amministrazione della Sicurezza Sociale degli Stati Uniti (SSA). Il messaggio invita i destinatari a verificare il proprio indirizzo e-mail e a scaricare un presunto estratto conto della SSA tramite un link incorporato.

In particolare, il link indirizza le vittime a un sito web aziendale messicano legittimo ma compromesso, dimostrando un tentativo intenzionale di eludere i filtri antispam e i sistemi di difesa basati sulla reputazione. Da lì, le vittime vengono reindirizzate a un secondo dominio controllato dall'attaccante, che ospita il payload dannoso camuffato da documento legittimo.

Consegna e persistenza del carico utile: progettazione dell’accesso a lungo termine

Una volta scaricato, il payload, confezionato come file eseguibile per Windows, avvia l'installazione dello strumento SimpleHelp RMM. Si ritiene che gli aggressori abbiano compromesso un account cPanel sul server di hosting per predisporre il file dannoso.

Dopo l'esecuzione, il malware acquisisce persistenza e resilienza attraverso diversi meccanismi:

  • Installazione come servizio di Windows con funzionalità di persistenza in modalità provvisoria
  • Implementazione di un watchdog autoriparante che riavvia automaticamente il servizio in caso di interruzione.
  • Enumerazione periodica dei prodotti di sicurezza installati tramite lo spazio dei nomi WMI root\SecurityCenter2 ogni 67 secondi
  • Monitoraggio continuo dell'attività dell'utente a intervalli di 23 secondi.

Queste tecniche garantiscono che la presenza malevola rimanga attiva, adattabile e difficile da sradicare.

Escalation dei privilegi e controllo completo del sistema

Per ottenere il pieno controllo interattivo sul sistema compromesso, il client SimpleHelp eleva i privilegi acquisendo SeDebugPrivilege tramite AdjustTokenPrivileges. Inoltre, viene sfruttato un componente legittimo del software, 'elev_win.exe', per ottenere l'accesso a livello di SISTEMA.

Questo livello di privilegio elevato consente agli aggressori di:

  • Monitorare e acquisire l'attività dello schermo
  • Inserisci sequenze di tasti in tempo reale
  • Accedere a risorse sensibili all'interno del contesto dell'utente

Tali funzionalità consentono di fatto il controllo completo sull'ambiente della vittima senza attivare i tradizionali allarmi di sicurezza.

Strategia di accesso ridondante: ScreenConnect come canale di fallback

Dopo aver stabilito il canale di accesso primario, gli aggressori utilizzano ConnectWise ScreenConnect come meccanismo di accesso remoto secondario. Ciò garantisce la persistenza anche se la connessione iniziale tramite SimpleHelp viene identificata e bloccata.

L'utilizzo di molteplici strumenti legittimi evidenzia una strategia di accesso a più livelli, progettata per garantire durata e furtività, complicando le attività di rilevamento e di risposta agli incidenti.

Impatto operativo: controllo silenzioso sotto radar

La versione di SimpleHelp installata (5.0.1) offre un solido set di funzionalità di amministrazione remota. Una volta integrato nell'ambiente, il sistema consente agli aggressori di operare liberamente e in modo discreto. L'organizzazione compromessa rimane esposta a continui attacchi, poiché gli aggressori possono rientrare nel sistema a piacimento.

L'ambiente diventa di fatto una risorsa controllata, dove gli avversari possono eseguire comandi in modo silenzioso, trasferire file in entrambe le direzioni e muoversi lateralmente all'interno della rete. Poiché tutta l'attività sembra provenire da software legittimamente firmato e prodotto da un fornitore britannico affidabile, i tradizionali antivirus e le difese basate sulle firme spesso non riescono a rilevare l'intrusione.

Conclusione: un modello per le intrusioni moderne

VENOMOUS#HELPER esemplifica la crescente tendenza a sfruttare strumenti amministrativi legittimi per scopi malevoli. Combinando ingegneria sociale, abuso di software affidabile e meccanismi di accesso ridondanti, la campagna raggiunge persistenza, furtività e flessibilità operativa. Questo approccio sottolinea l'urgente necessità di monitoraggio comportamentale, principi di zero trust e un maggiore controllo sull'utilizzo di strumenti legittimi all'interno degli ambienti aziendali.

 

Tendenza

I più visti

Caricamento in corso...