Si tratta di una campagna orchestrata dal noto gruppo TA558, che ha preso di mira una vasta gamma di istituzioni e aziende in tutto il mondo. Soprannominata SteganoAmor, a causa dell’uso della steganografia e di nomi di file VBS contenenti la parola “love”, è stata scoperta dai ricercatori Aleksandr Badaev e Kseniya Naumova di Positive Technologies:
“Il gruppo ha fatto ampio uso della steganografia inviando VBS, codice PowerShell e documenti RTF con un exploit incorporato, all’interno di immagini e file di testo“
Metodo di attacco
Come detto, SteganoAmor utilizza la steganografia, una tecnica che nasconde il malware all’interno di file dall’aspetto innocuo. In particolare, in questa campagna il gruppo TA558 incorporerebbe script dannosi all’interno di immagini, rendendo difficile la loro rilevazione. TA558 utilizza un arsenale di strumenti malware, tra cui AgentTesla, FormBooK, Remcos, LokiBot, Guloader, SnakeKeylogger e XWorm che vengono utilizzati attraverso varie catene di attacchi. Gli attacchi iniziano con e-mail di phishing provenienti da server SMTP compromessi (per ridurre al minimo le possibilità di blocco spam) e contenenti allegati Excel e Word apparentemente innocui ma che in realtà sfruttano il difetto Microsoft Office Equation Editor (già risolto nel 2017, CVE-2017-11882) per scaricare uno script VBS e recuperare un file immagine .JPG contenente un payload codificato in base64.
Infine il codice PowerShell all’interno dello script contenuto nell’immagine scarica il payload finale nascosto all’interno di un file di testo sotto forma di un eseguibile codificato.
Inoltre, è stato scoperto che TA558 utilizza anche server FTP legittimi ma infetti come server C2.
Portata globale
La campagna SteganoAmor ha un’ampia portata, con un focus significativo su America Latina, ma si estende anche in America del Nord, Europa Occidentale e oltre colpendo vari settori tra cui quello industriale e dei servizi pubblici e dell’energia elettrica.
Ecco alcuni consigli per proteggersi:
- Effettua regolarmente una valutazione delle vulnerabilità dei tuoi sistemi e reti. Identifica e risolvi eventuali punti deboli.
- Mantieni i tuoi sistemi operativi, software e applicazioni sempre aggiornati.
- Proteggi i dispositivi endpoint (come computer e smartphone) con soluzioni antivirus e antimalware. Monitora costantemente l’attività anomala.
- Limita l’accesso solo ai dipendenti autorizzati. Usa autenticazione a più fattori per aumentare la sicurezza.
- Configura e utilizza firewall per filtrare il traffico di rete e impedire l’accesso non autorizzato.
- Sensibilizza i dipendenti sulla sicurezza informatica. Insegna loro a riconoscere segni di phishing e a evitare click su link sospetti.
Ricorda che la prevenzione è fondamentale per proteggere la tua organizzazione da attacchi come SteganoAmor. Mantieniti informato sulle nuove minacce e adotta misure proattive per garantire la sicurezza dei tuoi dati e sistemi.
