Nel panorama sempre più complesso della sicurezza informatica, emerge una nuova minaccia denominata CLOUD#REVERSER dai ricercatori Securonix. Una catena d’infezione malware che si distingue per l’utilizzo dei servizi di archiviazione cloud Google Drive e Dropbox come piattaforme di staging per gestire il download di file.
Catena di infezione
L’attacco inizia con un’e-mail di phishing che induce l’utente a scaricare un archivio .zip contenente un file eseguibile (con icona di Microsoft Excel) di circa 560 KB e compilato utilizzando Visual Studio 2015.
Per indurre l’utente a eseguire un singolo file eseguibile da un file zip sono state utilizzate doppie estensioni e caratteri Unicode ‘U+202E’ per invertire l’ordine di visualizzazione del nome del file, facendo apparire il file stesso come un documento legittimo.
Nel rapporto viene spiegato che “Il file esegue alcuni trucchi utilizzando i caratteri di sostituzione da sinistra a destra (LTRO) per offuscare il fatto che si tratta di un’estensione eseguibile (.exe) rispetto a un file Excel (.xlsx). Ad esempio, il nome del file segue il seguente formato:
RFQ-101432620247fl <LTRO_CHARACTER> xslx.exe.
Se visualizzato dall’utente, apparirebbe come: RFQ-101432620247flexe.xlsx“
Il payload, una volta eseguito, scrive diversi file nella directory di staging C:\\ProgramData, crea attività pianificate per garantire la persistenza nel sistema tramite script .vbs e utilizza script PowerShell per interagire con le API di Google Drive e Dropbox, eseguire comandi ed esfiltrare dati sensibili. Tra i file presenti è incluso anche un file Excel esca (“20240416.xlsx”) che viene aperto per non destare sospetti durante l’esecuzione della catena d’infezione.
Raccomandazioni
CLOUD#REVERSER rappresenta un salto qualitativo nelle strategie degli attori delle minacce, che ora sfruttano le piattaforme cloud per condurre attacchi sofisticati. Per contrastare questa minaccia, Securonix raccomanda di evitare il download da fonti non verificate, monitorare le attività sospette in particolare nelle directory comuni di staging del malware (C:\ProgramData) e implementare solide funzionalità di registrazione degli endpoint.