Un’e-mail del governo italiano è stata presa di mira da una campagna di phishing. L’obiettivo dell’attacco mirava a installare un controllo remoto e uno strumento per il furto di informazioni.
CHE È SUCCESSO
Durante l’ultimo mese, Telsy ha riscontrato una nuova campagna di phishing, con esche bancarie e di pagamento, che prendeva di mira le e-mail del governo italiano (*.gov.it) e delle aziende di alcuni settori.
L’obiettivo dell’autore della minaccia era installare Remcos, uno strumento di controllo remoto, o l’agente Tesla, un Trojan che ruba informazioni, sui computer delle vittime.
Gli aggressori inizialmente hanno inviato e-mail false che sembravano provenire da diverse società legittime o, in alcuni casi, da e-mail compromesse.
Inoltre, alcuni binari sono stati ospitati su siti Web compromessi.
REMCOS E L’AGENTE TESLA
Remcos (acronimo di Remote Control & Surveillance Software) è un software di accesso remoto utilizzato per controllare i computer in remoto,sviluppato e distribuito da un’organizzazione chiamata Breaking Security.
Una volta installato, Remcos apre una backdoor sul computer, garantendo l’accesso completo all’utente remoto.
Può essere utilizzato per scopi di sorveglianza e test di penetrazione e in alcuni casi è stato utilizzato nelle campagne di hacking.
Da quando è apparso per la prima volta sul mercato, Remcos ha guadagnato popolarità tra i cyber-attaccanti ed è persino entrato nell’arsenale di attori APT come il Gorgon Group.
L’agente Tesla è un RAT “malware-as-a-service” estremamente popolare, un Trojan che ruba informazioni, utilizzato per rubare informazioni come credenziali, sequenze di tasti, dati degli appunti e altre informazioni dagli obiettivi dei suoi operatori.
Fornito più comunemente tramite campagne di phishing, l’Agente Tesla è stato distribuito in diverse iterazioni da quando è apparso per la prima volta intorno al 2014.
È in attivo sviluppo, viene costantemente aggiornato e migliorato con nuove funzionalità, offuscamento e metodi di crittografia, utilizzati anche dal gruppo APT SilverTerrier.
LE SCOPERTE
Nell’attacco che si è osservato, il malware ha utilizzato diverse tecniche di evasione per garantire il suo successo. Tra i più interessanti ci sono i seguenti:
Mappatura delle DLL nello spazio degli indirizzi e risoluzione delle funzioni nel file mappato invece delle chiamate di funzione LoadLibrary + GetProcAddress convenzionali;
Più livelli di iniezione di codice per nascondere azioni dannose dietro processi apparentemente legittimi;
Trucchi anti-reverse engineering per costringere un analista di malware umano a dedicare più tempo al campione.
In alcuni casi le email contengono un archivio con al suo interno un eseguibile mentre in altri un documento (RTF) che rilascia un eseguibile.
Tutti gli eseguibili sono scritti in dotNET e hanno più fasi in cui il payload, solitamente una DLL, viene caricato dalle risorse.
Tutte le e-mail appartengono alla stessa campagna di phishing degli eseguibili dannosi ospitati dallo stesso sito Web compromesso e hanno tutte la stessa catena di infezione.
Infatti, tutti gli eseguibili dannosi caricano ed eseguono la stessa libreria in memoria, chiamata SafeLSAPolicy.dll .
Quest’ultimo ha il compito di caricare in memoria una libreria denominata Uint16.dll che ha lo scopo di eseguire la fase finale vera e propria.
Il report completo rilasciato da Telsy, lo trovate salvato in copia permanente tra i PDF delle Cyber Security Notes del 20 settembre 2021.
