Scoperta la minaccia Water Curse: un nuovo attore nel panorama della cybersecurity
I ricercatori di cybersecurity hanno recentemente scoperto un nuovo attore di minaccia, noto come Water Curse, che utilizza repository GitHub compromessi per distribuire malware a più stadi. Secondo un’analisi pubblicata dai ricercatori di Trend Micro, Jovit Samaniego, Aira Marcelo, Mohamed Fahmy e Gabriel Nicoleta, il malware consente l’esfiltrazione di dati (inclusi credenziali, dati del browser e token di sessione), l’accesso remoto e la persistenza a lungo termine sui sistemi infetti.
Campagna di attacco e tecniche utilizzate
La campagna, descritta come “ampia e sostenuta”, è stata individuata per la prima volta il mese scorso. I repository creati offrivano strumenti di penetrazione apparentemente innocui, ma nascondevano payload dannosi nei file di configurazione dei progetti Visual Studio, come un bomber di email SMTP e Sakura-RAT. L’arsenale di Water Curse include una vasta gamma di strumenti e linguaggi di programmazione, dimostrando capacità di sviluppo trasversali per colpire la supply chain con information stealer orientati agli sviluppatori, che sfumano la linea tra strumenti di red team e distribuzione attiva di malware.
Metodi di infezione e tecniche di evasione
All’esecuzione, i payload dannosi avviano catene di infezione complesse a più stadi utilizzando script offuscati scritti in Visual Basic Script (VBS) e PowerShell. Questi script scaricano archivi crittografati, estraggono applicazioni basate su Electron e svolgono un’ampia ricognizione del sistema. Gli attacchi sono caratterizzati anche dall’uso di tecniche anti-debugging, metodi di escalation dei privilegi e meccanismi di persistenza per mantenere una presenza a lungo termine sui sistemi colpiti. Inoltre, vengono impiegati script PowerShell per indebolire le difese dell’host e inibire il recupero del sistema.
Motivazioni e strategia di attacco
Water Curse è stato descritto come un attore di minaccia motivato finanziariamente, guidato dal furto di credenziali, dal dirottamento di sessioni e dalla rivendita di accessi illeciti. Sono stati collegati alla campagna fino a 76 account GitHub. Ci sono prove che suggeriscono che l’attività correlata potrebbe essere in corso fin da marzo 2023. L’emergere di Water Curse è l’ultimo esempio di come gli attori di minaccia stiano abusando della fiducia associata a piattaforme legittime come GitHub come canale di distribuzione per il malware e per attacchi alla supply chain del software.
Infrastruttura e comportamento
I repository di Water Curse includono malware, utility di evasione, cheat per giochi, aimbot, strumenti per portafogli di criptovalute, scraper OSINT, bot di spam e credential stealer. Questo riflette una strategia di targeting multi-verticale che mescola il cybercrime con la monetizzazione opportunistica. La loro infrastruttura e comportamento indicano un focus su stealth, automazione e scalabilità, con esfiltrazione attiva tramite Telegram e servizi di condivisione file pubblici.
Strategie di distribuzione e malware associati
La divulgazione arriva mentre sono state osservate più campagne che sfruttano la strategia ClickFix per distribuire varie famiglie di malware come AsyncRAT, DeerStealer (tramite un loader chiamato Hijack Loader), Filch Stealer, LightPerlGirl e SectopRAT (anche tramite Hijack Loader). AsyncRAT è uno dei tanti trojan di accesso remoto (RAT) facilmente disponibili che sono stati utilizzati in queste campagne.
Fonte: The Hackers News
