Malware DownEx utilizzato nella campagna di spionaggio

malware

Un nuovo tipo di malware chiamato DownEx è stato scoperto dai ricercatori di sicurezza informatica rumeni.

Viene utilizzato in una sofisticata campagna di spionaggio che prende di mira organizzazioni governative in Asia centrale, con prove che suggeriscono il coinvolgimento di attori della minaccia con sede in Russia. Gli attacchi vengono effettuati tramite e-mail di spear phishing contenenti un payload esplosivo, camuffato da file Microsoft Word.

Una volta aperto l'allegato, viene visualizzato un documento esca mentre un'applicazione HTML dannosa viene eseguita in background. Questo file HTA è progettato per stabilire un contatto con un server di comando e controllo remoto per recuperare un payload della fase successiva, che si ritiene sia una backdoor per stabilire la persistenza. Gli aggressori utilizzano anche strumenti personalizzati per le attività post-sfruttamento, inclusi binari basati su C/C++ per enumerare le risorse di rete, uno script Python per ricevere istruzioni per rubare file, eliminare altri malware e acquisire schermate e un malware basato su C++ chiamato DownEx. per esfiltrare i file sul server C2.

Sono state scoperte anche altre due varianti di DownEx. I ricercatori hanno inoltre notato che si tratta di un attacco senza file, il che significa che lo script dannoso esiste solo in memoria e non arriva mai sulle unità della vittima.

Cos'è il malware senza file e cosa lo rende particolarmente pericoloso?

Il malware senza file è un tipo di software dannoso che opera nella memoria di un computer, senza lasciare tracce sul disco rigido. Ciò rende particolarmente difficile il rilevamento e la rimozione utilizzando il software antivirus tradizionale perché non ci sono file da scansionare. Invece di fare affidamento su un file o un eseguibile, il malware senza file viene spesso distribuito attraverso tecniche come ingegneria sociale, exploit o macro dannose nei documenti.

Una delle caratteristiche chiave del malware senza file è che utilizza programmi o strumenti legittimi già presenti nel sistema, come PowerShell o Strumentazione gestione Windows (WMI), per svolgere le sue attività dannose. In questo modo, il malware senza file può fondersi con attività di sistema legittime ed eludere il rilevamento da parte del software antivirus tradizionale.

Un altro motivo per cui il malware senza file è particolarmente pericoloso è che spesso può aggirare le misure di protezione degli endpoint come firewall, sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS) e altri strumenti di sicurezza che si basano su firme basate su file o algoritmi di corrispondenza dei modelli. Inoltre, poiché non scrive nulla sul disco, può non essere rilevato per periodi di tempo più lunghi e ha maggiori possibilità di raggiungere i suoi obiettivi prima di essere scoperto.

Il malware senza file viene spesso utilizzato in attacchi mirati, come quelli contro istituti finanziari o altri obiettivi di alto valore, in cui l'obiettivo è ottenere l'accesso a informazioni o sistemi sensibili. Può anche essere utilizzato per attacchi più diffusi, come le campagne ransomware, in cui gli aggressori cercano di infettare quanti più sistemi possibile.

May 12, 2023
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.