Il CSIRT Italia ha rilevato una campagna di phishing che sfrutta falsi inviti a riunioni Zoom per diffondere un malware RAT, camuffato da client Zoom, che nasconde un agente ScreenConnect predisposto per connettersi a un server C2 sotto il controllo dell’attaccante.

Modalità di attacco

La campagna si presenta tramite una mail di invito a un meeting Zoom, con riferimenti e grafica simili a quelli ufficiali. Seguendo il link contenuto nel messaggio, l’utente viene indirizzato a una landing page contraffatta, completa di loghi e animazioni di caricamento progettate per aumentare la credibilità del sito.

Una volta caricata la pagina, un popup invita a compilare un campo per la risoluzione di un CAPTCHA falso, seguito da un messaggio che comunica all’utente di non disporre dell’ultima versione di Zoom Workspace e che il pacchetto per l’aggiornamento, necessario per partecipare alla videoconferenza, verrà scaricato automaticamente. Il file offerto per il download, “Zoom-UpdateInstaller.exe”, è in realtà un dropper che installa una forma opportunamente alterata ConnectWise ScreenConnect, soluzione di remote desktop management legittima, comunemente utilizzata per l’assistenza tecnica remota, ma recentemente abusata dagli attaccanti per ottenere il controllo non autorizzato dei sistemi target. Questa versione è stata manipolata per comportarsi come un malware in grado di offrire accesso remoto non autorizzato al sistema infetto.

La modifica sfrutta una tecnica nota come “authenticode stuffing”, che consente agli attaccanti di inserire configurazioni malevole direttamente all’interno del certificato digitale del file. Questa manipolazione non invalida la firma digitale, che continua a risultare apparentemente legittima, rendendo più difficile per i sistemi di sicurezza individuare l’anomalia.

Una volta eseguito, il malware si installa automaticamente sul sistema e si configura per avviarsi automaticamente all’accensione del sistema, garantendo così persistenza e la possibilità di mantenere il controllo remoto nel tempo. Inoltre, il programma si connette a un server esterno controllato dagli attaccanti, tramite il quale può ricevere comandi o trasmettere informazioni prelevate dal sistema compromesso.

Azioni di Mitigazione

Il CSIRT Italia raccomanda di prestare particolare attenzione a questa campagna e invita gli utenti e le organizzazioni ad attivare le seguenti misure preventive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando in particolare dalle comunicazioni non attese che invitano ad aprire allegati e/o link sospetti;
  • non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
  • evitare di aprire file eseguibili (lnk, exe, bat, js, vbs, ecc.) o documenti contenenti macro se non si è certi della loro liceità.

Azioni di risposta agli incidenti

Qualora si riscontrino evidenze di avvenuta compromissione sui propri sistemi, si raccomanda agli utenti e alle organizzazioni di attuare le seguenti azioni:

  • collezionare eventuali evidenze, quali processi/servizi in esecuzione su dispositivi target, log di rete e log di autenticazione considerati non convenzionali;
  • porre in isolamento e/o offline gli host potenzialmente interessati dalla compromissione;
  • ripristinare gli host compromessi a un’immagine precedente consistente (dopo aver espletato le necessarie attività forensi);
  • resettare gli account degli utenti interessati dalla compromissione;
  • segnalare tempestivamente al CSIRT, tramite il portale https://segnalazioni.acn.gov.it/ l’evento occorso.

https://www.acn.gov.it/portale/en/w/rat-basato-su-screenconnect-veicolato-da-falsi-inviti-zoom

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: