La cyber offensiva usa un falso sito internet in Ucraina

Le aziende e organizzazioni italiane stanno subendo una cyber offensiva di tipo “False Flag. Lo rende noto l’esperto di sicurezza informatica Marco Ramilli sul suo blog. Questo spiega che il tutto è partito da una email scritta in un italiano molto buono, che ha raggiunto molte imprese del nostro paese. L’attachment era “ordine_065.js”, in realtà un downloader che dava il via all’infezione. Nel computer della vittima veniva scaricato ed eseguito un file PE dall’indirizzo IP 31.148.99.254, che in teoria ospita un’azienda delle telecomunicazioni specializzata nella vendita di servizi cloud e sita in Ucraina. Un’analisi più accurata, però, ha rilevato che l’indirizzo ospita invece un impianto con più malware, presumibilmente per utilizzare vettori multipli di attacco.

Il malware è complesso e in grado di cambiare comportamento

Ramilli ha poi analizzato nel dettaglio il malware, che mostra tecniche originali per nascondersi nel sistema della vittima e per compiere le sue operazioni. Dopo essersi installato scarica un file eseguibile da siti web di terze parti, lo rinomina e infine lo lancia. Lo specialista è riuscito a capire di cosa si trattava, vivisezionando il file malevolo passo dopo passo. Da ciò è emerso che questo utilizza una serie di tecniche di evasione e cambia comportamento a seconda delle difese e delle reazioni che incontra nei bersagli. Inoltre, tenta di disabilitare diverse caratteristiche di Windows come EnableLUA, DisableCMD, DisableTaskMgr e altre. Successivamente alla vera e propria inoculazione, peraltro, cerca di installare un altro eseguibile.

I cyber attacchi false flag sono sempre più diffusi nel mondo

Ramilli spiega che è interessante osservare la complessità di questo malware e di come si sta diffondendo tra le aziende e organizzazioni italiane. Lo è altrettanto, in quanto “False Flag”. Una tecnica sempre più usata dagli hacker per confondere chi indaga e rendere più difficile l’attribuzione del cyber attacco. Nel caso analizzato, infatti, il dropper ha stringhe russe. Ma uno dei payload ha caratteri orientali. Di fatto è un qualcosa di ibrido. Ciò, però, non vuol dire che sia meno pericoloso. Dunque, se si riceve una mail con l’allegato “ordine_065.js”, non aprirla. Mai.

L’articolo integrale di Marco Ramini su questo malware false flag con la spiegazione passo passo di cosa ha scoperto e come