Campagna SmokeLoader, l’allerta del CERT-UA

Il CERT-UA avverte di una campagna malspam in corso ed avviata ad aprile che sta distribuendo il malware SmokeLoader.

SmokeLoader

Questo malware fungendo solitamente da loader, una volta eseguito inietta codice dannoso nel processo di esplorazione in esecuzione scaricando un altro payload nel sistema compromesso.

La campagna malspam

Nella campagna in oggetto gli autori delle minacce starebbero inviando e-mail da account compromessi aventi “fattura/pagamento” per oggetto e come allegato un archivio ZIP.

Fonte CERT-UA

Il suddetto archivio ZIP è un file poliglotta contenente un documento esca e un file JavaScript “pax_2023_AB1058..js” che, utilizzando PowerShell, farà scaricare ed eseguire il file eseguibile “portable.exe”. Quest’ultimo, a sua volta, lancerà il malware SmokeLoader (data di compilazione: 2023-04-24 11:45:17).” avverte il CERT-UA.

Attribuzione

Il CERT-UA ha attribuito la campagna all’attore finanziariamente motivato UAC-0006, attivo almeno dal 2013 e specializzato nel furto di credenziali e transazioni finanziarie non autorizzate.

Misure di mitigazione

Poiché secondo gli esperti ucraini i loader JavaScript sarebbero tipicamente utilizzati da questo attore nelle fasi iniziali di un attacco, il CERT-UA come misura di mitigazione consiglia di bloccare l’avvio del processo “wscript.exe” (Windows Script Host) aggiungendo la voce “Enabled” (tipo: DWORD) con valore “0” sul seguente ramo del registro di Microsoft Windows “HKEY_CURRENT_USER,HKEY_LOCAL_MACHINE}\Software\Microsoft\Windows Script Host\Settings”.

Ulteriori dettagli e gli IoC sono disponibili sull’avviso.

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.