I ricercatori di sicurezza di Kaspersky hanno scoperto un nuovo ceppo di malware sviluppato dal gruppo di hacker DeathStalker progettato per eludere il rilevamento sui PC Windows. Sebbene l'attore delle minacce sia attivo almeno dal 2012, DeathStalker è arrivato per la prima volta all'attenzione di Kaspersky nel 2018 a causa delle sue caratteristiche di attacco distintive che erano diverse da quelle utilizzate dai criminali informatici o dai criminali informatici. hacker sponsorizzati dallo stato. Il gruppo è noto per utilizzare un'ampia gamma di ceppi di malware e catene di consegna complesse nei propri attacchi, ma le tattiche utilizzate per eludere il rilevamento sono ciò che li distingue davvero. Kaspersky ha scoperto il nuovo impianto PowerPepper di DeathStalker nel maggio di quest'anno mentre indagava su altri attacchi che utilizzavano l'impianto Powersing basato su PowerShell del gruppo. Dalla sua scoperta, il gruppo ha sviluppato e implementato nuove versioni di PowerPepper, che hanno anche adattato le catene di distribuzione del malware per raggiungere nuovi obiettivi.
PowerPepper Malware
Il nuovo malware PowerPepper è una backdoor di Windows PowerShell in memoria che ha la capacità di consentire ai suoi operatori di eseguire comandi shell in remoto da un server di comando e controllo (C2). Come nel caso del lavoro precedente di DeathStalker, PowerPepper tenta di eludere il rilevamento o l'esecuzione di sandbox in Windows 10 utilizzando vari trucchi come rilevare il movimento del mouse, filtrare l'indirizzo MAC di un client e personalizzare il flusso di esecuzione in base ai prodotti antivirus installati su un sistema di destinazione. . Il malware si diffonde tramite allegati e-mail di spear phishing o tramite collegamenti a documenti contenenti macro Visual Basic for Applications (VBA) dannose che eseguono PowerPepper e ottengono persistenza sui sistemi infetti. PowerPepper utilizza anche una serie di trucchi per aggirare la catena di consegna, come nascondere i payload nelle proprietà delle forme incorporate in Word, utilizzare i file CHM (Windows Compiled HTML) come archivi per file dannosi, nascondere e offuscare i file persistenti, nascondere i payload nelle immagini utilizzando la steganografia, perdersi nella traduzione ed eseguire i comandi della shell di Windows tramite l'esecuzione di un proxy binario firmato. Pierre Delcher di Kaspersky ha fornito ulteriori informazioni su come PowerPepper comunica con il suo server C2 in un nuovo rapporto: “La logica C2 dell'impianto si distingue perché si basa sulle comunicazioni tramite DNS su HTTPS (DoH), utilizzando i risponditori CloudFlare. PowerPepper tenta innanzitutto di sfruttare Excel di Microsoft come client Web per inviare query DoH a un server C2, ma tornerà al client Web PowerShell standard e, infine, alle normali comunicazioni DNS, se i messaggi non possono arrivare. " Per evitare di cadere vittima di PowerPepper, gli utenti dovrebbero evitare di aprire allegati o fare clic su collegamenti nelle e-mail di mittenti sconosciuti, nonché di abilitare le macro nei documenti dalle fonti. Non confermato. Via BleepingComputer