Le vittime colpite con l’infostealer Netwire questa volta sono di lingua italiana. È stato scoperto dagli esperti di sicurezza informatica di Cybaze / Yoroi-ZLab. La particolare catena di attacco ha mostrato interessanti schemi tecnici simili ad altre attività precedenti rivolte al panorama manifatturiero italiano.
La variante utilizzata in questa campagna è simile ad altri esempi della famiglia di malware NetWire ma presenta un’evoluzione della catena di attacco. Il malware viene consegnato come allegato di posta elettronica dannoso con macro XML incorporata al suo interno. Una volta aperto, il file Excel appare come un documento con alcuni elementi dinamici ma non ha alcuni pulsanti cliccabili. Lì, il classico avviso di sicurezza ci informa che le macro sono contenute nel documento e sono disabilitate. Sono abbastanza minimali e non contengono codice morto o altra tecnica anti-analisi.
Secondo gli esperti di sicurezza informatica italiana, lo snippet di macro VBS contatta il dominio “cloudservices-archive.] Best” per scaricare il payload della fase successiva nascosto all’interno di un file denominato file di immagine. Ma non è un’immagine né un eseguibile: in realtà è un foglio di stile XSL contenente Javascript in grado di caricare un altro oggetto ActiveX. Quindi, il malware scarica il file aggiuntivo “fiber.vbs”, un frammento di codice che nasconde l’invocazione di PowerShell attraverso diverse sostituzioni nidificate. Questa volta il codice è fortemente offuscato e contiene molte subroutine di manipolazione delle stringhe. Contiene un’altra fase PowerShell progettata per acquisire consapevolezza dell’ambiente di esecuzione e attivare l’esecuzione di una fase aggiuntiva. Successivamente, legge i byte non elaborati dal file scaricato e li trasforma in codice PowerShell pronto per l’esecuzione.
https://www.spcnet.eu/nuovi-attacchi-netwire-colpiscono-l-italia
