PseudoManuscrypt, la campagna spyware globale: come difendersi

È stato scoperto un nuovo malware con caratteristiche tipiche di uno spyware: ribattezzato PseudoManuscrypt per le similitudini con il malware Manuscrypt del gruppo APT Lazarus (utilizzato nella campagna ThreatNeedle), il modulo malevolo trovato in natura in due varianti avrebbe funzioni keylogger e sarebbe in grado di raccogliere informazioni sulle connessioni VPN e sulle password salvate, rubando anche contenuti degli appunti di Windows, screenshot e credenziali dei servizi di messaggistica (QQ, WeChat), catturare video dello schermo.

Inoltre, una volta attivo nel sistema target, il malware provvede anche a disabilitare le soluzioni di sicurezza e comunicare con un server C2.

Indice degli argomenti

Lo spionaggio industriale è il principale obiettivo

Dal 20 gennaio al 10 novembre 2021, i ricercatori Kaspersky hanno rilevato campioni di questo malware su oltre 35.000 computer in 195 Paesi (il maggior numero di rilevamenti si è verificato in Russia e India 10%, Brasile 9,3%, Vietnam 4,9% e Indonesia 4,2%. Anche l’Italia risulta interessata ma con una minore incidenza pari all’1,4%).

INFOGRAFICA

Risk Management: Come definire una strategia efficace

Finanza/Assicurazioni

Tra gli obiettivi principali rilevati figurano organizzazioni industriali (principalmente ingegneria e domotica) governative e militari e laboratori di ricerca.

In particolare, il gran numero di computer attaccati nel settore ingegneristico, compresi i sistemi utilizzati per la modellazione 3D, fisica e digital twin, suggerirebbe che lo spionaggio industriale potrebbe essere uno dei principali obiettivi della campagna in oggetto.

alternate text

“Si tratta di una campagna molto insolita. Stiamo ancora raccogliendo le varie informazioni che abbiamo a disposizione. Tuttavia, una cosa è chiara: questa è una minaccia a cui gli esperti devono prestare attenzione. È stata in grado di arrivare a migliaia di computer ICS, incluse molte organizzazioni di alto profilo. Continueremo le nostre indagini, tenendo informata la comunità di sicurezza su eventuali nuove scoperte”, ha commentato Vyacheslav Kopeytsev, security expert di Kaspersky.

Come avviene l’infezione di PseudoManuscrypt

La diffusione di PseudoManuscrypt, secondo i ricercatori, sarebbe avvenuta tramite falsi installer di software pirata, principalmente per i sistemi di controllo industriale (ICS), propinati in rete attraverso siti web posizionati tra i primi posti nei risultati dei motori di ricerca.

Risultati della ricerca di un software pirata. PseudoManuscrypt può posizionarsi tra i primi link.

In altri casi PseudoManuscrypt sarebbe stato diffuso invece in modo più capillare tramite la nota botnet Glupteba.

I cyber criminali, secondo il rapporto, avrebbero anche utilizzato il paradigma Malware-as-a-Service, ingaggiando altri attori malevoli per distribuire PseudoManuscrypt in bundle con altri malware in un unico pacchetto.

Il modulo principale di PseudoManuscrypt

Il modulo principale identificato e analizzato prevederebbe sia il processo di installazione sul sistema sia il rilascio di un payload secondo una successione di step:

  1. il modulo scrive il suo codice in un valore di registro speciale nella chiave HKEY_LOCAL_MACHINESOFTWAREClassesCLSID e viene memorizzato nel registro di sistema in forma crittografata;
  2. auccessivamente, estrae nella cartella %TEMP% o nella cartella %WinDir% il loader ovvero una libreria DLL con un nome file casuale scritto nel formato [0-Z]{10 }.tmp2;
  3. per garantire la persistenza del payload all’avvio del sistema, viene creato un servizio (AppService nei primi campioni trovati) con il loader come file eseguibile;
  4. infine, il malware aggiungendosi all’elenco delle esclusioni della soluzione antivirus Windows Defender modificando la chiave di registro HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsPaths, dopo il riavvio del sistema, esegue il loader per caricare, decodificare ed avviare il la sua componente principale, determinando la posizione esatta del payload memorizzata nel file di registro al punto 1.

Nel corso della ricerca sono stati inoltre identificati quattro server di comando e controllo verso cui vengono inviati tutti i dati raccolti (email.yg9[.]me, google.vrthcobj[.]com, toa.mygametoa[.]com e tob.mygametob[.]com) secondo una implementazione specifica del protocollo di comunicazione KCP e un ulteriore server dedicato (d.diragame.com) probabilmente impiegato per la raccolta delle statistiche da parte di una piattaforma Malware-as-a-Service (MaaS).

Le varianti del modulo principale

La prima delle due varianti del modulo principale scoperta comprende le seguenti funzioni per sottrarre informazioni riservate dal computer della vittima:

  • registratore di tasti;
  • lettore dati dagli appunti;
  • lettore dati della connessione VPN;
  • lettore dei registri degli eventi di applicazioni, di sistema e di sicurezza di Windows;
  • registratore audio da microfoni collegati al sistema infetto.

La seconda variante rilevata nel luglio 2021 presenta, invece, ulteriori funzionalità aggiuntive di spionaggio utili per:

  • registrare video dallo schermo del computer;
  • carpire credenziali di autenticazione dalle applicazioni di messaggistica QQ e WeChat;
  • raccogliere informazioni dettagliate sul sistema colpito;
  • raccogliere dati di connessione di rete;
  • disabilitare le soluzioni antivirus;
  • eliminare le chiavi di registro per i servizi appartenenti a soluzioni di sicurezza predeterminati;
  • raccogliere informazioni sui processi che accettano connessioni di rete su porte TCP e UDP;
  • cancellare i registri degli eventi di applicazioni, di sicurezza e di sistema di Windows.
  • scambiare messaggi di testo tra il server di comando e controllo e il malware.

Come proteggersi da PseudoManuscrypt

Nel ricordare sempre quanto sia fondamentale formare i dipendenti dell’azienda sui rischi in tema di sicurezza informatica, soprattutto quando si lavora con internet e posta elettronica, spiegando le possibili conseguenze legate ad un download e all’esecuzione di un file proveniente da fonti non verificate, per proteggersi da PseudoManuscrypt gli esperti raccomandano di:

  • disporre di soluzioni di protezione affidabili e regolarmente aggiornate sulla totalità dei sistemi dell’azienda;
  • istituire politiche che includano restrizioni per i tentativi degli utenti di accedere ai sistemi;
  • limitare le connessioni di rete e VPN, tra i sistemi sulla rete OT, bloccando le connessioni sulle porte non necessarie;
  • utilizzare l’autenticazione multi fattore per le connessioni VPN essenziali, limitando il numero di indirizzi IP abilitati alle connessioni.

@RIPRODUZIONE RISERVATA
Sorgente articolo:
PseudoManuscrypt, la campagna spyware globale: come difendersi

User ID Campaign ID Link
d9a95efa0a2845057476957a427b0499 l-99999980 Ugo Fiasconaro
d9a95efa0a2845057476957a427b0499 l-99999978 Fiasconaro
d9a95efa0a2845057476957a427b0499 l-99999987 Consulenza realizzazione Applicazioni Web
d9a95efa0a2845057476957a427b0499 l-99999988 Primo su google