Salta al contenuto principale

Via G. Segantini, 5 - 20825 Barlassina (MB) - Tel. +39 0362 1443506 | Accesso portale GDPR

Hacker utilizzano il movimento del mouse nelle presentazioni di Microsoft PowerPoint per distribuire malware

Hacker utilizzano il movimento del mouse nelle presentazioni di Microsoft PowerPoint per distribuire malware

Gli analisti della sicurezza di Cluster25 hanno recentemente riportato una nuova tecnica di esecuzione del codice utilizzata dagli hacker, che si pensa lavorino per la Russia.

Questa nuova tipologia di attacco utilizza il movimento del mouse (mouseover) per avviare uno script PowerShell malevolo nel computer, dopo l'apertura di una presentazione PowerPoint.

L'attacco si dimostra ancora più insidioso poiché il codice malevolo non richiede l'esecuzione di alcuna macro per poter scaricare il payload ed eseguire il codice dannoso.

Secondo il rapporto, il malware Graphite è stato introdotto nel sistema di recente, il 9 settembre, utilizzando la nuova tecnica di distribuzione, dal gruppo di cybercriminali APT28 (aka Fancy Bear, TSAR Team).

Nel luglio 2018, il governo degli Stati Uniti ha pubblicato un rapporto in cui affermava che questo gruppo di cybercriminali sarebbe affiliato alla direzione principale dell'intelligence dello stato maggiore russo.

Analisi Tecnica

Un file .PPT che solo apparentemente proviene dall'OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico), viene utilizzato dall'attaccante per colpire ed infettare gli obiettivi.

Il file PPT contiene due diapositive, entrambe contengono istruzioni, in inglese e francese, per l'utilizzo dell'opzione "Interpretation" della piattaforma di videoconferenza Zoom.

Utilizzando l'utilità SyncAppvPublishingServer, uno script di PowerShell dannoso viene avviato tramite un collegamento ipertestuale contenuto nel file PPT. Il malware è noto in quanto è stato distribuito attraverso il servizio Graph di Microsoft (da giugno 2017 è disponibile online la documentazione di questa tecnica) ed utilizzato come vettore per i framework post-exploitation Empire.

Non appena la vittima passa il mouse su un collegamento ipertestuale contenuto nel documento esca quando è in modalità presentazione, viene aperto uno script PowerShell dannoso. Non è necessario fare click sul collegamento per attivare la catena dell'infezione.

Successivamente, l'attore della minaccia scarica un file JPEG da un account Microsoft OneDrive ("DSC0002.jpeg") con l'aiuto di questo script dannoso:

Script utilizzato degli hacker

Il file così scaricato viene quindi convertito in un file DLL che verrà decrittografato e posizionato nel percorso C:\ProgramData\lmapi2.dll sul computer locale.

A questo punto sarà presente un file PE (Portable Executable) a 64 bit denominato lmapi2.dll utilizzato come file DLL. Al momento dell'esecuzione di questo file, verrà creato un nuovo thread che scaricherà un altro file con estensione JPEG (DSC0001.jpeg), decrittografandolo con un chiave pubblica presente all'interno del codice (hardcoded).

Successivamente, verrebbe copiato in una regione di memoria allocata un nuovo file PE, il malware Graphite.

Inoltre, allo scopo di comunicare con il server C2, Graphite utilizza i seguenti due elementi:

  • Microsoft Graph API
  • OneDrive

Per ottenere un token OAuth2 valido, l'attore della minaccia utilizza un ID client fisso che può essere utilizzato per accedere al servizio. Nella sottodirectory di controllo di OneDrive, Graphite enumera i file figlio del nuovo token OAuth2 e interroga Microsoft GraphAPIs per i nuovi comandi:

Questo malware è progettato per consentire all'attaccante di caricare altro malware nella memoria del sistema per ottenere il controllo dello stesso.

Aggiungi un commento

HTML ristretto

  • Elementi HTML permessi: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id> <img src alt data-entity-type data-entity-uuid data-align data-caption>
  • Linee e paragrafi vanno a capo automaticamente.
  • Indirizzi web ed indirizzi e-mail diventano automaticamente dei link.
Bonus ICT Smart Security

BONUS - ICT SMART SECURITY

Una contributo semplice e diretto per migliorare la sicurezza dei dati e la conformità al GDPR.
SCOPRI SUBITO

Chi Siamo

arcasafe è un'agenzia di consulenza professionale in cyber security. Esperti in GDPR, con un team di avvocati specializzati, verifichiamo la conformità al Regolamento Generale per la Protezione dei Dati e aiutiamo le aziende nel processo di adeguamento alla normativa. Il team di esperti informatici è pronto ad affiancarti nella implementazione dei sistemi di sicurezza informatica per prevenire perdite di dati e violazioni del tuo ecosistema informatico aziendale.

Contattaci

+39 0362 14.43.506
 info@arcasafe.eu
 Via G. Segantini, 5
     20825 Barlassina (MB)