L’ ARMA DI CYBER SPIONAGGIO CHE PRENDE IL CONTROLLO DEI PC

redatto da Aryon Solutions | Cyber Security | 30 Giugno 2021

È stata scoperta una nuova backdoor nel software Windows, una “DLL” che è capace di raccogliere quasi tutte le informazioni desiderate dai pirati informatici e che può essere eseguita da remoto sui pc delle vittime, consentendo agli attaccanti di effettuare cyber spionaggio live, mediante:

  • azioni di esecuzione screenshot,
  • modifica di file
  • esecuzione di comandi

La backdoor è stata utilizzata da un gruppo di attacco di sospetta nazionalità cinese che ha iniziato una campagna di cyber spionaggio verso un governo del sud est asiatico.

L’avvio dell’attacco avviene mediante invio di documenti contenenti un malware usato come arma di spionaggio, a più membri del gruppo preso di mira, impersonando altre entità all’interno dello stesso.

LA CATENA DI INFEZIONE è COMPOSTA DEI SEGUENTI PASSI:

  • ricezione da parte della potenziale vittima di una e-mail (spear phishing) con un documento allegato in formato “.doc”, presumibilmente inviato da un contatto fidato;
  • attuazione di una serie di eventi che attivano la backdoor, a partire dall’apertura del documento da parte della vittima;
  • la backdoor raccoglie tutte le informazioni a cui gli attaccanti sono interessati, compresa la lista dei file e dei programmi attivi sul PC, permettendo l’accesso remoto.

CARATTERISTICHE DELLA NUOVA BACKDOOR

La nuova backdoor rappresenta un tipo di malware che nega le normali procedure di autenticazione per accedere a un sistema. Con il nome interno “VictoryDll_x86.dll”, il modulo backdoor contiene malware personalizzato equipaggiato delle seguenti capacità fino ad oggi appurate:

  • cancellare/creare/rinominare/leggere/scrivere file e ottenere gli accessi dei file;
  • ottenere informazioni su processi e servizi;
  • catturare screenshot;
  • eseguire comandi attraverso cmd.exe;
  • creare/terminare un processo;
  • ottenere tabelle TCP/UDP;
  • carpire informazioni sulle chiavi di registro;
  • conoscere i titoli di tutte le finestre di primo livello;
  • avere informazioni sul computer personale della vittima – nome del computer, nome utente, indirizzo del gateway, dati dell’adattatore, versione di Windows (versione maggiore/minore e numero di build) e tipo di utente;
  • spegnere il PC;