Un malware “di terza fase” ha colpito il settore industriale nell’Europa dell’Est: ne mette in guardia Kaspersky, che ha analizzato il software malevolo progettato per caricare file su Dropbox e coordinarsi con altri impianti di malware per esfiltrare i dati.
Questa terza fase prevede una catena di esecuzione del malware in tre step. In primo luogo, la catena di esecuzione stabilisce la persistenza e gestisce il posizionamento e l’avvio del modulo malware della seconda fase che è responsabile del caricamento dei file raccolti su un server remoto con l’aiuto del modulo di terza fase.
La complessa architettura consente all’attore della minaccia di ricalibrare il flusso di esecuzione, sostituendo singoli moduli all’interno della catena. In alcuni casi, la catena potrebbe essere utilizzata per l’esfiltrazione dei dati da segmenti di rete isolati da Internet, creando un archivio intermedio/proxy per i dati rubati all’interno della rete delle vittime.
In questo contesto ’attore della minaccia ha distribuito una catena di malware per accedere ai file della casella di posta elettronica di Outlook, per eseguire comandi remoti e per effettuare il caricamento di file “.rar” locali o remoti su Dropbox.
Inoltre, la ricerca evidenzia l’uso di strumenti per il trasferimento manuale dei dati: uno di questi è stato progettato specificamente per spostare i file da e verso Yandex Disk, mentre un altro consente di caricare facilmente i file su 16 servizi di condivisione temporanea di file. Un terzo, scaricato da Yandex Disk, aveva la funzionalità di inviare i dati di log dell’esecuzione della catena di impianti agli account di posta elettronica Yandex.
Fonte: Corcom