Scoperta di un attacco informatico insolito: malware con intestazioni DOS e PE corrotte
Recentemente, i ricercatori di cybersecurity hanno svelato un attacco informatico insolito che sfrutta un malware con intestazioni DOS e PE corrotte, secondo nuove scoperte di Fortinet. Le intestazioni DOS (Disk Operating System) e PE (Portable Executable) sono parti essenziali di un file PE di Windows, fornendo informazioni cruciali sull’eseguibile.
Il malware, eseguito all’interno di un processo dllhost.exe, è un file PE a 64 bit con intestazioni DOS e PE corrotte, progettato per ostacolare gli sforzi di analisi e ricostruire il payload dalla memoria. Nonostante questi ostacoli, Fortinet ha notato che è stato possibile smontare il malware scaricato in un ambiente locale controllato replicando l’ambiente del sistema compromesso dopo “numerosi tentativi, errori e correzioni ripetute”.
Una volta eseguito, il malware decripta le informazioni del dominio di comando e controllo (C2) memorizzate in memoria e stabilisce un contatto con il server (“rushpapers[.]com”) in una nuova minaccia creata. “Dopo il lancio del thread, il thread principale entra in uno stato di sospensione fino al completamento dell’esecuzione del thread di comunicazione”, hanno dichiarato i ricercatori. “Il malware comunica con il server C2 tramite il protocollo TLS”.
Fortinet ha dichiarato che, sebbene non sia stato in grado di estrarre il malware stesso, ha acquisito un dump di memoria del processo di malware in esecuzione e un dump di memoria completo della macchina compromessa. Attualmente non è noto come il malware venga distribuito o quanto siano diffusi gli attacchi che lo distribuiscono.
Ulteriori analisi hanno determinato che il malware è un trojan di accesso remoto (RAT) con capacità di catturare schermate, enumerare e manipolare i servizi di sistema sull’host compromesso e persino agire come server per attendere connessioni “client” in arrivo. “Implementa un’architettura socket multi-thread: ogni volta che un nuovo client (attaccante) si connette, il malware genera un nuovo thread per gestire la comunicazione”, ha affermato Fortinet. “Questo design consente sessioni simultanee e supporta interazioni più complesse”.
Scoperto su una macchina compromessa per diverse settimane, il malware è stato eseguito tramite un batch di script e PowerShell in un processo Windows. “Operando in questa modalità, il malware trasforma efficacemente il sistema compromesso in una piattaforma di accesso remoto, consentendo all’attaccante di lanciare ulteriori attacchi o eseguire varie azioni per conto della vittima”.
Fonte: The Hackers News
