I ricercatori di sicurezza informatica di HP Wolf Security hanno scoperto un nuovo ceppo di malware (si apre in una nuova scheda) distribuito tramite file Microsoft Word armati.

Il malware, soprannominato SVCReady, consente agli attori delle minacce di estrarre informazioni di sistema come il firmware del dispositivo e il software installato sul dispositivo (si apre in una nuova scheda), secondo il rapporto. Viene distribuito all'unisono con un altro virus, un ceppo relativamente popolare chiamato RedLine Stealer. Questo viene utilizzato per rubare cose come password, dettagli di pagamento memorizzati, cronologia di navigazione, ecc.

L'attore della minaccia distribuisce il malware tramite documenti Microsoft Word creati, utilizzando lo shellcode archiviato nelle proprietà del documento. Si tratta di una deviazione dalla pratica più standard in cui gli attori delle minacce in genere utilizzano PowerShell o MSHTA.

Sebbene il ceppo sia ancora agli inizi e chiaramente un work in progress, ha un grande potenziale per diventare più di un semplice fastidio, hanno detto i ricercatori.

Lavori in corso

Il malware non è potente come potrebbe essere. Tuttavia, con gli attori delle minacce che lavorano sodo, non c'è spazio per l'autocompiacimento, afferma Patrick Schläpfer, analista di malware presso HP Wolf Security.

"Alcune cose nel malware sono rotte", afferma Schläpfer. “SVCReady è chiaramente in fase di sviluppo e attori malintenzionati hanno aggiunto la crittografia al formato di comunicazione di rete nelle ultime settimane. Man mano che il malware viene perfezionato, potrebbe diventare un problema più grande in futuro. Abbiamo riscontrato alcune somiglianze nelle convenzioni di denominazione dei file e nelle immagini di richiamo che sembrano essere correlate a quelle utilizzate dal gruppo di minacce TA551 per scopi finanziari. »

L'ultima volta che abbiamo sentito parlare di TA551, il gruppo stava dirottando i thread per distribuire caricatori di malware. Gli esperti di sicurezza informatica di Intezer hanno scoperto che il gruppo stava abusando di vulnerabilità note nei server Microsoft Exchange compromessi e senza patch per rubare le credenziali di accesso, spostarsi nelle caselle di posta delle persone e rispondere a lunghe catene di messaggi e-mail con collegamenti a IcedID, un Trojan bancario modulare.

Condividi questo