LuminousMoth APT persegue obiettivi nelle Filippine e in Myanmar

Gli esperti di sicurezza informatica hanno monitorato una nuova campagna di malware, che prende di mira gli utenti in Asia. Finora, i criminali dietro questa operazione si sono affidati esclusivamente alle e-mail di spearphishing. La loro campagna è riuscita a contagiare oltre 1.400 vittime nelle Filippine e circa 100 in Myanmar. I criminali, rintracciati sotto lo pseudonimo di LuminousMoth APT, potrebbero essere una suddivisione di un più grande gruppo Advanced Persistent Threat (APT) attivo nella regione: HoneyMyte. Un altro recente attacco contro utenti e organizzazioni in Myanmar ha coinvolto il KilllSomeOne Malware .

Il carico utile di LuminousMoth APT si è diffuso tramite unità USB dirottate

Il carico utile degli hacker è ospitato sul servizio Dropbox e nelle e-mail di spearphishing si trova un collegamento ad esso. Il file che i destinatari finiscono per scaricare è un archivio RAR che è stato camuffato per sembrare un documento di Microsoft Word. Una volta in esecuzione, l'impianto dannoso inizia a esfiltrare i dati sul server degli aggressori. Può anche diffondersi lateralmente piantando il suo carico utile su unità USB collegate. Le sue altre abilità includono il furto di dati dal browser Google Chrome e il travestimento da versione della popolare app Zoom.

L'operazione di furto di dati, eseguita da LuminousMoth APT, è semplice: eseguirà la scansione del disco rigido alla ricerca di formati di file specifici e quindi li trasferirà al server dell'attaccante. Lo fa periodicamente ed esegue controlli aggiuntivi per garantire che non copierà dati già esistenti. Sorprendentemente, il componente del browser stealer è molto semplicistico, considerando la portata dell'attacco. Prende di mira solo Google Chrome e cerca solo di rubare i cookie invece di altre informazioni.

Finora, i ricercatori non sono stati in grado di individuare il motivo per cui l'operazione sembra avere molto più successo nelle Filippine rispetto al Myanmar. Le operazioni di spionaggio, l'infrastruttura di rete e le altre risorse di LuminousMoth APT si sovrappongono in modo significativo alle caratteristiche di HoneyMyte APT.