I ricercatori di cybersecurity di AhnLab: Il malware viene scaricato ed eseguito da un file WSF all’interno di un file compresso, veicolato tramite url nelle email di phishing.
Nuova campagna phishing in Italia per diffondere il RAT Quasar
Il CertPa: Nuova campagna phishing del cybercrime per diffondere il RAT Quasar in Italia. L’esca sono offerte di lavoro e il malware è contenuto negli allegati, falsi curricula
Nuova campagna di phishing del cybercrime in Italia per diffondere il RAT Quasar. Lo hanno denunciato gli esperti di cyber security del CertPa. Il vettore d’infezione sono email con falsi curricula. Il malware è noto per essere stato ampiamente diffuso nel corso del 2018 tramite attacchi rivolti allo sfruttamento di vulnerabilità di Microsoft Office. Se installato, permette a un hacker malevolo l’apertura di connessioni desktop remote, la registrazione di sequenze di tasti, il furto delle password, l’acquisizione di schermate, la registrazione di webcam e il download e l’esfiltrazione di file oltre al controllo dei processi attivi sui sistemi infetti. La campagna avviene tramite malspam e utilizza un documento protetto da password (fornita all’interno del messaggio). Quando la vittima la digita, il documento richiede l’abilitazione delle macro per poter avviare il processo di infezione. Se viene eseguita correttamente, all’utente verrà mostrata una serie di immagini a conferma del buon esito dell’operazione.
Gli esperti di cyber security: Il malware è dotato anche di sistemi di difesa e protezione. In particolare contro l’analisi della macro malevola
Chi sta cercando di distribuire Quasar in Italia, peraltro, ha dotato il malware di un sistema di difesa e protezione. In caso si effettuino analisi sulla macro con strumenti di cyber security automatizzati o manuali tradizionali, si provocherebbe il potenziale crash dello strumento. Ciò a causa di un anomalo utilizzo di memoria. Gli sviluppatori del RAT, infatti, utilizzano oltre 1200 righe di codice Garbage, che sembra essere codificato in base64, per strutturare la macro. Inoltre, se tali stringhe non vengono decodificate o il processo dispone di risorse sufficienti allocate, il contenuto risultante manca ancora dell’URL del payload. Invece, stringhe parziali e testo di riempimento danno una certa parvenza di legittimità. Parti dell’URL del payload, nonché informazioni aggiuntive, sono infatti nascoste come metadati per immagini e oggetti incorporati.
Articoli correlati
