Nuova campagna SVCReady diffusa attraverso Malspam

Gli esperti di sicurezza del ramo di ricerca sulle minacce di HP hanno pubblicato i loro risultati su un nuovo ceppo di malware, soprannominato SVCReady. Il malware viene diffuso tramite campagne e-mail di spam dannose.

Il primo avvistamento di SVCReady in natura è avvenuto alla fine di aprile 2022. Il malware è stato diffuso attraverso file di documenti MS Word dannosi carichi di macro che vengono eseguiti all'apertura. Tuttavia, a differenza della maggior parte dei malware che utilizzano macro, SVCReady non utilizza i comandi MSHTA o PowerShell per prelevare il proprio carico utile da Internet. Invece, il nuovo malware utilizza un altro trucco intelligente: eseguire lo shellcode contenuto nei campi delle proprietà del file.

SVCReady rilascia un file DLL nella cartella temporanea. Successivamente, il malware copia il file rundll32 legittimo del sistema nella stessa directory e lo rinomina. Quindi la copia rinominata di rundll32 viene utilizzata per eseguire il file DLL dannoso.

Il malware sembra essere in fase di sviluppo attivo, poiché è stato aggiornato più volte dalla fine di aprile e sembra avere le caratteristiche di un meccanismo di persistenza, ma è difettoso e in realtà non raggiunge la persistenza nello stato attuale.

SVCReady è stato utilizzato come carico utile iniziale per fornire malware aggiuntivo sui sistemi infetti, incluso il malware infostealer RedLine.