Cocktail di malware contro ricercatori e sviluppatori di sicurezza.
I ricercatori di sicurezza 0day enthusiast e MalwareHunterTeam hanno scoperto una sofisticata campagna malware che mira a ricercatori e sviluppatori di sicurezza informatica attraverso una versione dannosa dell’applicazione dnSpy .NET per installare ladri di criptovalute, trojan di accesso remoto e minatori.
dnSpy è un popolare debugger e editor di assembly .NET utilizzato per eseguire il debug, modificare e decompilare i programmi .NET. e comunemente utilizzato dai ricercatori di sicurezza durante l’analisi di malware e software .NET.
Nonostante il software non sia più attivamente sviluppato dagli sviluppatori iniziali, il codice sorgente originale e una nuova versione sviluppata sono disponibili su GitHub per essere clonati e modificati da chiunque.
In questi giorni, attori malevoli hanno creato un repository GitHub con una versione compilata di dnSpy che installa un cocktail di malware, inclusi dirottatori di appunti per rubare criptovaluta, il trojan di accesso remoto Quasar, un miner e una varietà di payload sconosciuti.
Inoltre, gli attori malevoli hanno anche creato un falso sito Web su dnSpy[.]net ben progettato e dall’aspetto professionale, adesso inattivo, e per promuoverlo hanno eseguito con successo l’ottimizzazione dei motori di ricerca per ottenere dnSpy[.]net elencato nella prima pagina di Google e, come piano di backup, hanno anche eliminato gli annunci dei motori di ricerca per apparire come primo elemento nei risultati di ricerca. Questo dominio è stato anche elencato in modo prominente su Bing, Yahoo, AOL, Yandex e Ask.com.
L’applicazione dannosa dnSpy risulta come il programma normale quando viene eseguita, consente di aprire applicazioni .NET, eseguirne il debug ed eseguire tutte le normali funzioni del programma.
Tuttavia, quando viene avviata, eseguirà una serie di comandi che creano attività pianificate che vengono eseguite con autorizzazioni elevate.
Al momento, sia il dnSpy[.]net che il repository GitHub utilizzati per alimentare questa campagna sono stati chiusi.
“Gli attacchi ai ricercatori e agli sviluppatori della sicurezza informatica non sono nuovi e stanno diventando sempre più comuni per rubare vulnerabilità nascoste, codice sorgente o accedere a reti sensibili”, conclude BleepingComputer.
