Il malware sfrutta la DDE invece di Macro e OLE

Qualcuno sta impersonando la Securities and Exchange Commission (SEC) Usa per diffondere malware. È in corso una campagna di spear phishing, che usa email presumibilmente dalla SEC, per infettare le vittime con DNSMessenger. Lo fa attraverso falso allegati Word che abusano del protocollo Dynamic Data Exchange (DDE) di Microsoft Windows. Si tratta di un codice malevolo particolarmente insidioso, in quanto per non essere rilevato stabilisce segretamente comunicazioni di comando e controllo, usando il registro delle queries e delle risposte del Domain Name System TXT nella macchina della vittima. In precedenza, DNSMessenger era inoculato dopo una serie di comandi PowerShell. La nuova campagna è stata scoperta dai ricercatori cyber di Cisco Talos, i quali hanno rilevato che sfrutta il DDE per l’esecuzione del codice, incece delle più comuni Macro o degli oggetti OLE (Object Linking and Embedding).

Gli hacker hanno puntato con DNSMessenger aziende di assicurazioni, finanza e IT

Il Cisco threat intelligence team ha osservato per la proma volta la campagna di phishing SEC il 10 ottobre. Non è stato reso noto, però, quali aziende siano state colpite dal cyber attacco, se non il fatto che sono simili a quelle colpite in precedenza da DNSMessenger. Queste, comunque, fanno parte dei settori assicurativo, finanziario e IT. In particolare, gli hacker hanno inviato una serie di email mascherare come provenienti dal sistema Electronic Data Gathering, Analysis, and Retrieval (EDGAR) della Commissione Usa. È una piattaforma che viene usata per compilare i rapporti finanziari. Il malware allegato contiene loghi e marchi specifici, che danno l’illusione di provenire dall’organismo. Aprendo l’attachment, appare il messaggio che questo contiene link a file esterni e si chiede all’utente il permesso di importarli e mostrarli. Accettando, si viene immediatamente infettati.

La nota di Cisco Talos con la descrizione della campagna malware che simula mail della SEC