Attacco informatico con PowerShell offuscato: La minaccia di LummaC2 Stealer

Negli ultimi tempi, gli attacchi informatici stanno diventando sempre più sofisticati, sfruttando tecniche avanzate per eludere le difese tradizionali. Un esempio recente è l’uso di PowerShell offuscato per distribuire il malware LummaC2 Stealer, una minaccia che mira a rubare informazioni sensibili dai dispositivi compromessi.

PowerShell offuscato: Un vettore di attacco potente

PowerShell è uno strumento potente e versatile utilizzato dagli amministratori di sistema per automatizzare compiti e gestire reti. Tuttavia, la sua potenza lo rende anche un obiettivo attraente per i cybercriminali. L’offuscamento del codice PowerShell è una tecnica che nasconde le vere intenzioni del codice, rendendo più difficile per i sistemi di sicurezza rilevare e bloccare l’attacco.

LummaC2 Stealer: un malware pericoloso

LummaC2 Stealer è un tipo di malware progettato per rubare informazioni sensibili, come credenziali di accesso, dati finanziari e altre informazioni personali. Questo malware viene distribuito tramite un modello di Malware-as-a-Service (MaaS), il che significa che può essere facilmente acquistato e utilizzato da vari cybercriminali, aumentando il rischio di attacchi su larga scala.

L’ultima variante

La ricerca tecnica di Ontinue ha rivelato un nuovo campione di malware che utilizza un comando PowerShell codificato per scaricare il malware LummaC2 con un forte aumento dell’attività nelle ultime settimane. Questo malware è offuscato ma può essere decodificato per eseguire un payload di seconda fase, crittografato tramite AES con unq chiave di decrittazione incorporata nel comando PowerShell. La seconda fase del malware inietta codice dannoso nel processo legittimo di Windows “dllhost.exe”, permettendo la comunicazione con un server C2 (IP 188.68.220.48), l’esfiltrazione dei dati e la persistenza tramite modifiche al registro.

Come proteggersi

Per proteggersi da minacce come LummaC2 Stealer, è fondamentale adottare misure di sicurezza avanzate, tra cui monitoraggio e analisi del traffico di rete, aggiornamenti regolari, e formazione del personale.

L’uso di PowerShell offuscato per distribuire LummaC2 Stealer rappresenta una minaccia significativa per la sicurezza informatica. Tuttavia, con una combinazione di tecnologie avanzate e una formazione adeguata, è possibile mitigare questi rischi. Investire in soluzioni di sicurezza robuste e mantenere una cultura aziendale attenta alla sicurezza sono passi fondamentali per proteggere le informazioni sensibili e garantire la resilienza dei sistemi contro attacchi futuri.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.