I ricercatori di sicurezza informatica ReversingLabs hanno scoperto due pacchetti dannosi nel repository PyPI (Python Package Index) che sfruttano la tecnica chiamata sideloading DLL per eludere il rilevamento ed eseguire codice dannoso.
“I pacchetti dannosi scoperti, NP6HelperHttptest e NP6HelperHttper, utilizzano il typosquatting, utilizzando nomi quasi identici a uno dei pacchetti NP6 legittimi. L’obiettivo è indurre gli sviluppatori a scaricare e aprire malware, facilitando così l’ulteriore accesso degli aggressori“, spiega Petar Kirhmajer di ReversingLabs.
In particolare, i pacchetti falsi imiterebbero nel nome due tool di supporto realmente pubblicati da uno sviluppatore PyPI della società Chapsvision: NP6HelperHttp e NP6HelperConfig.
Typosquatting
Il Typosquatting è una forma di crimine informatico in cui i truffatori registrano domini con nomi di siti web noti deliberatamente scritti in modo errato. Pertanto tale tecnica si basa su errori di battitura o di ortografia che le persone possono fare quando digitano un URL nel browser. Per evitare il typosquatting, è consigliabile verificare sempre l’ortografia e la sicurezza dell’URL di un sito web prima di inserire informazioni personali, e non cliccare su link sospetti o non richiesti nelle e-mail o nei messaggi.
Sideloading DLL
Il sideloading DLL è una tecnica utilizzata per distribuire malware e consiste nello sfruttare il modo non sicuro con cui Windows carica le DLL (Dynamic Link Library) richieste all’avvio di un’applicazione. In pratica, gli attaccanti creano DLL malevole con lo stesso nome di quelle legittime, in modo che all’avvio dell’applicazione vengano richiamate le versioni modificate anziché quelle corrette del sistema operativo.
Le fasi dell’infezione della campagna rilevata
Nella campagna rilevata da ReversinLabs ciascun pacchetto contiene uno script “setup.py” progettato per scaricare due file, un eseguibile legittimo “ComServer.exe” (appartenente al pacchetto software DriverGenius) vulnerabile alla sideloading DLL e la DLL contraffatta “dgdeskband64.dll” che scarica ed esegue il payload di seconda fase.
“Uno degli scopi di ComServer.exe è caricare una libreria, dgdeskband64.dll , e richiamare la sua funzione Dllinstall, che viene utilizzata per installare un modulo specifico all’interno del software indicato.”, si legge nel rapporto, “Il problema: la versione di dgdeskband64.dll inclusa nei pacchetti dannosi non è la versione legittima della libreria che ComServer si aspetta di trovare sul sistema in cui viene eseguita. Invece, l’autore della minaccia ha creato la propria versione di dgdeskband64.dll per facilitare l’attacco, con la stessa funzione di Dllinstall della libreria legittima Dgdeskband64.dll “.
Pertanto La DLL, una volta eseguita, si occupa di recuperare da un dominio presidiato “us.archive-ubuntu[.]top” un file .GIF, che in realtà altro non è che un codice shell Cobalt Strike Beacon.
Come proteggersi
Secondo ReversingLabs tale approccio sarebbe un metodo emergente di attacco alla catena di approvvigionamento del software in quanto con questa tecnica gli attaccanti riescono a ridurre il rischio che il codice dannoso venga rilevato dagli strumenti di sicurezza.
Poiché esisterebbero prove che suggeriscono che tali pacchetti farebbero parte di una campagna più ampia che prevede la distribuzione di file eseguibili simili e suscettibili al sideloading DLL, per proteggersi da questi tipi di minacce, ecco alcune misure da adottare:
1. Mantenere il sistema operativo e le applicazioni sempre aggiornati per correggere eventuali vulnerabilità.
2. Scaricare applicazioni solo da fonti attendibili, come gli store ufficiali.
3. Utilizzare software antivirus per rilevare e bloccare attacchi.
4. Monitorare costantemente l’attività del sistema per individuare comportamenti anomali.
Ricordando che la sicurezza informatica è un processo continuo, è sempre importante rimanere informati sulle nuove minacce e adottare le migliori pratiche per proteggere i propri dispositivi.