Malware Brief: phishing ingegnoso, BYOVD e RAT Android

Le notizie malware continuano ad arrivare. Oggi esamineremo brevemente un attacco che sfrutta le piattaforme Meta per inviare malware RAT ai sistemi Android; una tecnica di attacco chiamata bring-your-own-vulnerable driver che prende di mira gli utenti Windows; e una tecnica di phishing avanzata e multistadio utilizzata da un noto gruppo di minacce con sede in Russia.

Il malvertising su Meta prende di mira i sistemi Android

Tipo: RAT, Spyware

Malware: Brokewell

Diffusione: Malvertising

Vettore: ambienti Meta

Target: Sistemi Android

Attivo dal: luglio 2024

Secondo quanto riferito, gli attori delle minacce utilizzano il malvertising sulle piattaforme Meta per diffondere software falso. Gli annunci promettono un'app gratuita di TradingView Premium, mentre invece la vittima installa una versione di Brokewell con funzionalità spyware e RAT (Remote Access Trojan).

Come spiegato in dettaglio in questo articolo di BleepingComputer, Brokewell utilizza diversi mezzi per fornire una backdoor di accesso remoto, registrare le attività e cercare e rubare dati sensibili, concentrandosi in particolare sui dati finanziari e sulle criptovalute.

Bring-your-own-vulnerable-driver (BYOVD)

Tipo: RAT

Malware: ValleyRAT

Diffusione: Driver vulnerabili di WatchDog Antimalware firmati da Microsoft

Gruppo di minaccia: Silver Fox

Obiettivo: Microsoft Windows da 7 a 11

Come riportato in SC Media, il gruppo di criminali informatici che si fa chiamare Silver Fox ha utilizzato una tecnica di attacco BYOVD per infettare i sistemi Windows con il malware Trojan di accesso remoto ValleyRAT.

Il BYOVD implica il caricamento deliberato di un driver con una vulnerabilità nota, in questo caso un driver WatchDog Antimalware firmato da Microsoft (o un driver Zemana per macchine Windows 7). Questi driver non erano elencati nella elenco di blocco dei driver vulnerabili di Microsoft.

Poiché i driver sono installati con accesso di livello 0 alle risorse, gli attaccanti possono quindi installare il trojan di accesso remoto ValleyRAT senza essere rilevati, ottenendo accesso e controllo sul sistema infetto.

Per un'analisi tecnica approfondita, consulta questo articolo su The Hacker News.

BlackBasta utilizza il phishing avanzato per diffondere malware

Tipo: Vari

Malware: Zbot, DarkGate, malware personalizzato

Diffusione: Tecniche di phishing innovative

Alla fine dell'anno scorso, è stato osservato che il gruppo di minacce BlackBasta utilizzava una nuova tecnica di phishing per indurre le vittime a installare malware sui sistemi.

Anzitutto, gli obiettivi vengono bombardati tramite e-mail, creando l'impressione che sia in corso un attacco informatico di qualche tipo. Quindi, gli attaccanti contattano il bersaglio tramite Microsoft Teams, dichiarando di essere membri dell'help desk IT dell'azienda bersaglio.

Una volta che la vittima accetta la chat, viene indotta a caricare una serie di minacce malware. In genere, un raccoglitore di credenziali prima raccoglie le credenziali dell'utente, quindi il malware può essere utilizzato per installare un loader come Zbot, Zloader o DarkGate.