Campagna di phishing indirizzata a istituzioni ucraine
Cari lettori di Tecnogalaxy, è in corso una campagna di phishing indirizzata alle istituzioni ucraine.
CERT-UA, ha rilevato una campagna massiva di invio e-mail malevole per conto degli organi statali e destinate a istituzioni similari ucraine. Il contenuto delle e-mail ovviamente falso, contiene istruzioni relative all’aumento sul livello di sicurezza della propria organizzazione. Come la gran parte delle mail di Phishing all’interno è presente un link al sito web hxxps://forkscenter[.]fr/ “attualmente non più attivo”, che invita il malcapitato a scaricare il pacchetto intitolato “Aggiornamenti Critici” denominato “BitdefenderWindowsUpdatePackage.exe“, la grandezza è di circa 60 MB.
Cosa si rischia aprendo il file di phishing
Se il file viene aperto comporta l’esecuzione del loader “alt.exe”, che automaticamente scaricherà ed eseguirà dal sito di messaggistica “Discord”, due file “one.exe” e “dropper.exe”.
Stando all’analisi eseguita dal CERT-UA, è stato stabilito che l’esecuzione del file “one.exe” infetterebbe la vittima tramite il software Cobalt Strike Beacon, inoltre scaricherebbe ed eseguirebbe il file “wisw.exe”, una procedura a catena che a sua volta scaricherebbe da Discord il file “cesdf.exe”, che dopo essere stato scaricato verrebbe installato.
Entrando più nel dettaglio, il file “dropper.exe”, caricato e decodificato in base64 viene poi salvato su disco eseguendo il file “java-sdk.exe”.
Il file “java-sdk.exe” garantisce la persistenza attraverso una chiave inserita nel registro di Windows, poi carica e decodifica in base64 due file di nome:
- microsoft-cortana.exe, classificato come backdoor GraphSteel;
- oracle-java.exe, classificato come backdoor GrimPlant.
Il malware GraphSteel effettua le seguenti attività:
- raccolta delle informazioni della macchina colpita come :( nome host, indirizzo IP, nome utente,);
- sottrae le credenziali di autenticazione;
- esegue comandi;
- carica dei file.
La backdoor utilizza un protocollo di rete chiamato WebSocket e il linguaggio di programmazione GraphQL per comunicare con il server di Comando e di Controllo.
Come sempre fare attenzione alle e-mail che ricevete, ai messaggi e al loro contenuto, che sia un link o un allegato.
Ti aspetto sul mio canale Youtube dove potrai trovare diversa documentazione
https://www.youtube.com/channel/UCiaypVH2IpMKxhuU5VI4nlQ
Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.
Al prossimo articolo 😊
N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.
Giorgio Perego
IT Manager
Leggi anche:
- Top 10 annunci avvenuti durante il WWDC
- Le 4 migliori app mobili per scommesse: caratteristiche, costi e utilizzo su iOS e Android
- Come riparare file video corrotti
- Come risparmiare sulla partita iva nel 2023
- ChatGPT potrebbe diventare senziente?
Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!
Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.
Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.
© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.