Il CERT-AGID ha rilevato una campagna malspam in corso in Italia volta a distribuire il malware AsyncRAT attraverso un articolato meccanismo di infezione basato su tecniche steganografiche.
La campagna si presenta con un’email scritta in inglese e apparentemente inviata da “Arabian Construction Co”, una fittizia compagnia edilizia. Il messaggio informa la vittima di essere stata selezionata come potenziale fornitore e la invita a consultare dei documenti “allegati”. Tuttavia, al posto di un file allegato, compare un link inserito nella sezione RFQ che rimanda al download di un file TAR condiviso tramite la piattaforma Box.com.
L’archivio TAR contiene un file JavaScript offuscato, che, se eseguito, rilascia un comando PowerShell destinato scaricare una risorsa da uno spazio di storage di Aruba Drive, simile a quanto avviene con servizi come Google Drive, Dropbox, Microsoft OneDrive o WeTransfer.
In realtà, il campione finale può essere scaricato direttamente dall’URL assegnata alla variabile $gangbusters che deve essere invertita, ma la catena di compromissione segue un percorso differente.
Il file ottenuto dalla url $picle si presenta come una banale immagine GIF, ma nasconde al suo interno un payload in Base64, celato tra i tag steganografici <<sudo_png>> e <<sudo_odt>>.
Decodificando il contenuto nascosto si ottiene una DLL che viene eseguita tramite PowerShell con parametri precisi, inclusa l’URL invertita assegnata alla $gangbusters. La DLL, dopo aver effettuato alcuni controlli sulla macchina in cui viene eseguita, inclusa la verifica della presenza di una Virtual Machine, provvede a scaricare il campione finale ed eseguirlo.
Il vero obiettivo della catena è AsyncRAT, un potente Remote Access Trojan già noto alla comunità di sicurezza. Questo strumento malevolo consente a un attaccante di prendere il controllo completo di un sistema infetto, monitorare le macchine compromesse, sottrarre informazioni sensibili ed eseguire comandi da remoto.
Ulteriori indagini hanno messo in luce un dettaglio allarmante: la stessa immagine GIF è stata utilizzata in passato anche per veicolare altri malware noti, come Remcos, Formbook, AveMaria e MassLogger, suggerendo l’esistenza di una infrastruttura condivisa tra più campagne.
Grazie alla collaborazione con Aruba, la risorsa malevola è stata disattivata tempestivamente. Gli Indicatori di Compromissione (IoC) sono stati condivisi attraverso il Feed IoC del CERT-AGID con le strutture accreditate, a scopo preventivo e di mitigazione.
Il CERT-AGID invita tutte le organizzazioni e i cittadini a mantenere alta la guardia di fronte a email sospette, specialmente se contengono link a servizi di file sharing. In caso di dubbio, è sempre possibile inviare segnalazioni all’indirizzo malware@cert-agid.gov.it.
Per approfondire i dettagli tecnici della campagna e ottenere i relativi IoC, sono disponibili al seguentie link:
https://cert-agid.gov.it/news/asyncrat-distribuito-in-italia-tramite-componenti-steganografici/
