RAT diffusi tramite file PowerPoint dannosi

Da dicembre 2021, campagne di phishing hanno interessato presentazioni PowerPoint fraudolente per diffondere diversi tipi di malware, in particolare trojan di accesso remoto e furto di informazioni. Secondo la ricerca di Netskope Threat Labs, gli aggressori stanno utilizzando i file PowerPoint insieme a servizi cloud affidabili per ospitare payload di malware. Warzone (aka AveMaria) e AgentTesla sono due formidabili RAT e ladri di informazioni che prendono di mira varie applicazioni. I ricercatori hanno anche notato il calo del furto di bitcoin nella campagna monitorata.

Il file di phishing di PowerPoint dannoso include una macro offuscata eseguita tramite PowerShell e MSHTA, entrambe funzionalità integrate di Windows. Successivamente, lo script VBS viene de-offuscato e vengono aggiunte nuove voci di registro di Windows per la persistenza, determinando l’esecuzione di due script. Il primo recupera AgentTesla da un URL esterno, mentre il secondo disattiva Windows Defender.

Il VBS crea anche un processo pianificato, che esegue uno script ogni ora che deposita uno stealer di criptovaluta PowerShell da un URL di Blogger. AgentTesla è un RAT (trojan di accesso remoto) basato su .NET che può raccogliere le password del browser, tenere traccia delle sequenze di tasti e acquisire il contenuto della clipboard, tra le altre cose. Viene eseguito tramite PowerShell ed è leggermente offuscato, con una funzione che inietta il payload in un’istanza in esecuzione di “aspnet_compiler.exe”.

Warzone, un RAT, è il secondo payload consegnato in questa campagna. Tuttavia, Netskope non fornisce molte informazioni al riguardo nel rapporto. Lo stealer di criptovalute è il terzo payload della campagna, che confronta i dati della clipboard con i modelli di portafoglio di criptovaluta utilizzando una regex. Se scoperto, sostituisce l’indirizzo del destinatario con uno controllato dall’attore malintenzionato. Il ladro supporta Bitcoin, Ethereum, XMR, DOGE e altre criptovalute. In questa pagina GitHub, Netskope ha divulgato l’intero elenco di IoC (indicatori di compromissione) per questa campagna, inclusi tutti i portafogli utilizzati dagli attori.

Dario Fadda

IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.

Want to comment on? Turn on the discussion

Back to top