I ricercatori di cybersecurity hanno individuato un malware basato su Go, denominato XDigo, utilizzato in attacchi contro enti governativi dell’Europa orientale nel marzo 2025. Secondo l’azienda francese di cybersecurity HarfangLab, le catene di attacco hanno sfruttato una raccolta di file di collegamento di Windows (LNK) come parte di una procedura a più fasi per distribuire il malware.
XDSpy e le campagne di cyber spionaggio
XDSpy è il nome assegnato a una campagna di cyber spionaggio nota per prendere di mira agenzie governative nell’Europa orientale e nei Balcani dal 2011. Documentata per la prima volta dal CERT bielorusso all’inizio del 2020, questa campagna ha visto negli ultimi anni aziende in Russia e Moldavia bersagliate da varie campagne per distribuire famiglie di malware come UTask, XDDown e DSDownloader, capaci di scaricare payload aggiuntivi e rubare informazioni sensibili dagli host compromessi.
Vulnerabilità nei file LNK
HarfangLab ha osservato che l’attore della minaccia ha sfruttato una vulnerabilità di esecuzione di codice remoto in Microsoft Windows, attivata durante l’elaborazione di file LNK appositamente creati. La vulnerabilità, identificata come ZDI-CAN-25373, è stata divulgata pubblicamente da Trend Micro nel marzo di quest’anno. Secondo la Zero Day Initiative (ZDI) di Trend Micro, “dati appositamente creati in un file LNK possono rendere invisibili contenuti pericolosi a un utente che ispeziona il file tramite l’interfaccia utente fornita da Windows”.
Analisi dei file LNK
Un’ulteriore analisi degli artefatti dei file LNK che sfruttano ZDI-CAN-25373 ha rivelato un sottoinsieme più piccolo composto da nove campioni, che sfruttano un difetto di confusione nel parsing dei file LNK derivante dal mancato rispetto da parte di Microsoft della propria specifica MS-SHLLINK (versione 8.0). Secondo la specifica, il limite teorico massimo per la lunghezza di una stringa all’interno dei file LNK è il più grande valore intero che può essere codificato in due byte (cioè, 65.535 caratteri). Tuttavia, l’implementazione effettiva di Windows 11 limita il contenuto di testo totale memorizzato a 259 caratteri, con l’eccezione degli argomenti della riga di comando.
Conseguenze della deviazione dalla specifica
Questa deviazione dalla specifica porta a situazioni confuse, in cui alcuni file LNK vengono analizzati diversamente per specifica e in Windows, o addirittura alcuni file LNK che dovrebbero essere invalidi per specifica sono effettivamente validi per Microsoft Windows. HarfangLab ha dichiarato che, a causa di questa deviazione, è possibile creare appositamente un file LNK che apparentemente esegue una certa riga di comando o addirittura sia invalido secondo i parser di terze parti che implementano la specifica, mentre esegue un’altra riga di comando in Windows.
Distribuzione dei file LNK
I nove file LNK sono stati distribuiti all’interno di archivi ZIP, ciascuno dei quali contiene un secondo archivio ZIP che include un file PDF esca, un eseguibile legittimo ma rinominato e una DLL dannosa caricata lateralmente tramite il binario. La combinazione del problema di padding degli spazi bianchi con la confusione nel parsing dei file LNK può essere sfruttata dagli attaccanti per nascondere il comando che viene eseguito sia nell’interfaccia utente di Windows che nei parser di terze parti.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
