Rischio Malware: Documenti Word Falsi usati per Diffondere Minaccia Nim
Un nuovo pericolo si cela dietro documenti Word apparentemente innocui. Un gruppo di hacker ha sfruttato astutamente questo software comune, utilizzato quotidianamente da milioni di utenti, per diffondere malware attraverso una sofisticata campagna di phishing.
La minaccia è rappresentata da un backdoor scritto nel linguaggio di programmazione Nim, poco comune ma efficace nell’oscurità che offre agli investigatori di sicurezza. Gli esperti di Netskope, Ghanashyam Satpathy e Jan Michael Alcantara, hanno sottolineato come l’uso di linguaggi di programmazione meno conosciuti rappresenti una sfida per la comunità della sicurezza informatica, in quanto la mancanza di familiarità può ostacolare le indagini.
Il malware basato su Nim, una rarità nel panorama delle minacce, è stato recentemente identificato in diverse campagne. Gli attaccanti, sempre più audaci, si sono impegnati a sviluppare strumenti personalizzati usando questo linguaggio di programmazione o a convertire le versioni esistenti dei loro programmi malintenzionati in questo formato.
Tra i casi emersi ci sono NimzaLoader, Nimbda, IceXLoader e famiglie di ransomware come Dark Power e Kanti, esempi di come questo linguaggio sia stato impiegato per scopi dannosi.
La catena di attacco individuata da Netskope inizia con un’email di phishing che contiene un allegato di un documento Word. Una volta aperto, il documento richiede al destinatario di attivare le macro per avviare il malware Nim. Il mittente dell’email si maschera da funzionario governativo nepalese per aumentare la credibilità del messaggio.
Una volta attivato, il malware inizia a eseguire processi per identificare strumenti di analisi presenti sul computer infetto. Se ne trova uno, termina immediatamente la sua esecuzione.
Altrimenti, il backdoor stabilisce una connessione con un server remoto che simula un dominio governativo nepalese, tra cui il National Information Technology Center (NITC), in attesa di ulteriori istruzioni. Purtroppo, i server di comando e controllo (C2) non sono più accessibili.
Secondo gli esperti, la particolarità del Nim come linguaggio di programmazione staticamente compilato consente agli attaccanti di creare una sola variante di malware e distribuirla su piattaforme diverse, aumentando così il raggio d’azione dell’attacco.
Questa rivelazione è stata accompagnata dalla scoperta di Cyble di una campagna di social engineering che sfrutta i messaggi su piattaforme di social media per distribuire un nuovo malware basato su Python chiamato Editbot Stealer. Questo malware è progettato per rubare e trasferire dati preziosi attraverso un canale Telegram controllato dagli attaccanti.
Anche se gli attori delle minacce stanno sperimentando nuovi ceppi di malware, è stato osservato che le campagne di phishing distribuiscono anche malware noti come DarkGate e NetSupport RAT attraverso email e siti compromessi, utilizzando richieste di aggiornamento fasulle (aka RogueRaticate).
A conferma di ciò, la società di sicurezza aziendale Proofpoint ha identificato diverse campagne che hanno utilizzato il malware DarkGate tra settembre e novembre 2023, prima di passare a NetSupport RAT all’inizio di questo mese.
Una sequenza di attacco particolarmente rilevante è stata identificata all’inizio di ottobre 2023. Questo attacco ha utilizzato due sistemi di distribuzione del traffico (TDS), 404 TDS e Keitaro TDS, per filtrare e reindirizzare le vittime verso un dominio controllato dagli attaccanti, sfruttando una vulnerabilità di bypass di sicurezza di Windows SmartScreen, risolta da Microsoft solo a novembre 2023.
Questo evidenzia come l’attaccante abbia sfruttato questa vulnerabilità come zero-day un mese prima che venisse resa pubblica dal gigante tecnologico.
DarkGate è stato progettato per rubare informazioni e scaricare ulteriori malware, mentre NetSupport RAT, inizialmente uno strumento legittimo di amministrazione remota, è diventato un’arma potente usata da attori malintenzionati per infiltrare sistemi e stabilire un controllo remoto senza restrizioni.
Gli esperti di Proofpoint hanno evidenziato come gli attori minacciosi informatici stiano utilizzando catene di attacco sempre più creative, incluso l’uso di vari strumenti TDS, per abilitare la distribuzione di malware. Inoltre, l’uso sia di email che di richieste di aggiornamento finte mostra come l’attaccante utilizzi multiple tecniche di social engineering per convincere gli utenti a installare il payload finale.
DarkGate è stato utilizzato anche da altri attori minacciosi come TA571 e TA577, noti per distribuire varie forme di malware, tra cui AsyncRAT, NetSupport, IcedID, PikaBot e QakBot (aka Qbot).
Selena Larson, analista senior di intelligence sulle minacce presso Proofpoint, ha confermato che TA577, uno dei distributori più attivi di Qbot, ha utilizzato DarkGate per inviare malware tramite email a settembre e, da allora, è stato osservato distribuire PikaBot in campagne che coinvolgono decine di migliaia di messaggi, dimostrando l’ampia portata di tali attacchi.
Questo nuovo trend evidenzia la necessità di vigilanza costante e di strategie di difesa avanzate per proteggere la rete dagli attacchi informatici sempre più sofisticati e diffusi.