È stato osservato che gli hacker mascheravano il trojan di accesso remoto PlugRAT come un debugger Microsoft per aggirare le soluzioni antivirus e compromettere gli endpoint mirati.
Gli esperti di sicurezza informatica di Trend Micro hanno recentemente rilevato un attore dannoso non identificato che utilizza x64dbg per diffondere il Trojan. x64dbg è uno strumento di debug open source, che si dice sia molto popolare nella comunità degli sviluppatori. Viene in genere utilizzato per esaminare il codice in modalità kernel e in modalità utente, dump della memoria o log della CPU.
Tuttavia, in questo caso viene sfruttato in un attacco noto come sideloading DLL.
Affinché il programma funzioni correttamente, è necessario un file .DLL specifico. Se sono presenti più DLL con lo stesso nome, verrà eseguita prima quella nella stessa cartella del file exec, e questo è ciò che sfruttano gli hacker. Fornendo un file DLL modificato con il programma, garantiscono che il software legittimo finisca per attivare malware.
In questo caso, il software porta una firma digitale valida che può "confondere" alcuni strumenti di sicurezza, hanno spiegato i ricercatori. Ciò consente agli autori delle minacce di "volare sotto il radar", mantenere la persistenza, elevare i privilegi e aggirare le restrizioni sull'esecuzione dei file.
"La scoperta e l'analisi dell'attacco malware utilizzando lo strumento di debug open source x32dbg.exe ci mostra che il sideloading DLL è ancora utilizzato dagli autori delle minacce in quanto è un modo efficace per aggirare le misure di sicurezza e assumere il controllo di un sistema di destinazione", si legge il report Trend Micro (si apre in una nuova scheda).
"Gli aggressori continuano a utilizzare questa tecnica perché sfrutta la fiducia fondamentale nelle applicazioni legittime", continua il rapporto. "Questa tecnica rimarrà praticabile per gli aggressori per distribuire malware (si apre in una nuova scheda) e accedere a informazioni sensibili finché i sistemi e le applicazioni continueranno a fidarsi e a caricare librerie dinamiche."
Il modo migliore per proteggersi da tali minacce è assicurarsi di sapere quali programmi si stanno eseguendo e di fidarsi della persona che condivide l'eseguibile. Trend Micro ritiene che gli attacchi sideload continueranno a essere un valido vettore di attacco negli anni a venire, poiché sfruttano una "fiducia fondamentale nelle applicazioni legittime".
"Questa tecnica rimarrà praticabile per gli aggressori per distribuire malware e accedere a informazioni sensibili finché i sistemi e le applicazioni continueranno a fidarsi e a caricare librerie dinamiche." hanno concluso.
Via: Il Registro (si apre in una nuova scheda)