Il CERT-UA avverte di una campagna malspam in corso ed avviata ad aprile che sta distribuendo il malware SmokeLoader.
SmokeLoader
Questo malware fungendo solitamente da loader, una volta eseguito inietta codice dannoso nel processo di esplorazione in esecuzione scaricando un altro payload nel sistema compromesso.
La campagna malspam
Nella campagna in oggetto gli autori delle minacce starebbero inviando e-mail da account compromessi aventi “fattura/pagamento” per oggetto e come allegato un archivio ZIP.
“Il suddetto archivio ZIP è un file poliglotta contenente un documento esca e un file JavaScript “pax_2023_AB1058..js” che, utilizzando PowerShell, farà scaricare ed eseguire il file eseguibile “portable.exe”. Quest’ultimo, a sua volta, lancerà il malware SmokeLoader (data di compilazione: 2023-04-24 11:45:17).” avverte il CERT-UA.
Attribuzione
Il CERT-UA ha attribuito la campagna all’attore finanziariamente motivato UAC-0006, attivo almeno dal 2013 e specializzato nel furto di credenziali e transazioni finanziarie non autorizzate.
Misure di mitigazione
Poiché secondo gli esperti ucraini i loader JavaScript sarebbero tipicamente utilizzati da questo attore nelle fasi iniziali di un attacco, il CERT-UA come misura di mitigazione consiglia di bloccare l’avvio del processo “wscript.exe” (Windows Script Host) aggiungendo la voce “Enabled” (tipo: DWORD) con valore “0” sul seguente ramo del registro di Microsoft Windows “HKEY_CURRENT_USER,HKEY_LOCAL_MACHINE}\Software\Microsoft\Windows Script Host\Settings”.
Ulteriori dettagli e gli IoC sono disponibili sull’avviso.