Una sofisticata campagna di distribuzione del trojan PikaBot tramite e-mail è stata scoperta, mascherata con riferimenti a comunicazioni pregresse.
Il messaggio, redatto in lingua italiana, invita i destinatari a interagire con un file allegato in formato .ZIP, che contiene uno script .JS, il quale, qualora aperto, innesca la catena di infezione che può compromettere gravemente la sicurezza dei sistemi.
Nel dettaglio, il codice malevolo prevede l’esecuzione di più comandi, utilizzando utility di sistema Windows legittime quali WScript.exe, cmd.exe e curl.exe per eseguire una serie di comandi. Tra le attività dannose previste, vi è la creazione di directory intricate per storicizzare l’eseguibile malevolo, con l’obiettivo di garantirne la persistenza nel sistema e di eludere le misure di rilevamento delle minacce informatiche. Inoltre, il trojan modifica la chiave di registro “ProxyBypass” per aggirare le impostazioni del proxy di sistema e stabilire connessioni con risorse malevole senza essere rilevato.
L’aggressore sfrutta la struttura annidata delle directory per garantire la persistenza del malware e sfuggire ai meccanismi di rilevamento.
Il CSIRT Italia invita gli utenti e le organizzazioni a prestare attenzione al comportamento evidenziato da questa tipologia di malware, monitorando eventuali modifiche del registro di sistema effettuate da processi sospetti e il relativo traffico di rete e attivando le misure di sicurezza riportate sul loro sito.
