I ricercatori della sicurezza informatica stanno avvertindo una nuova campagna di phishing che si rivolge agli utenti di Taiwan con famiglie di malware come Holdhands Rat e Gh0stcringe.
L’attività fa parte di una campagna più ampia che ha fornito il Winos 4.0 Malware Framework all’inizio di gennaio da Invio di messaggi di phishing Impersonando il Nationwide Taxation Bureau di Taiwan, Fortinet Fortiguard Labs disse In un rapporto condiviso con le notizie di Hacker.
La società di sicurezza informatica ha dichiarato di aver identificato ulteriori campioni di malware attraverso un monitoraggio continuo e di aver osservato lo stesso attore delle minacce, indicato come Silver Fox APT, utilizzando documenti PDF allacciati da malware o file Zip distribuiti tramite e-mail di phishing per consegnare GH0stcringe e una deformazione da malware in base al ratto di holdhands.
Vale la pena notare che entrambi Holdhands Rat (aka gh0stbins) e Gh0stcringe sono varianti di un Trojan di accesso remoto noto chiamato GH0st Rat, ampiamente utilizzato dai gruppi di hacking cinesi.
Il punto di partenza dell’attacco è un’e -mail di phishing che si maschera da messaggi del governo o dei accomplice commerciali, impiegando esche relative a tasse, fatture e pensioni per convincere i destinatari advert aprire l’attacco. È stato scoperto che le catene di attacco different sfruttano un’immagine incorporata che, quando faceva clic, scarica il malware.
I file PDF, a loro volta, contengono un hyperlink che reindirizza i potenziali obiettivi a una pagina di obtain che ospita un archivio ZIP. All’interno del file sono presenti diversi eseguibili legittimi, caricanti di codi shell e code crittografati.
La sequenza di infezione a più stadi comporta l’uso del caricatore di codi di shell per decrittografare ed eseguire il cofano Shell, che non è altro che file DLL a carico dai binari legittimi usando le tecniche di caricamento laterale DLL. I payload intermedi distribuiti nell’ambito dell’attacco incorporano l’anticazione anti-VM e sui privilegi in modo da garantire che il malware corre senza ostacoli sull’host compromesso.
L’attacco culmina con l’esecuzione di “msgdb.dat”, che implementa le funzioni di comando e controllo (C2) per raccogliere informazioni utente e scaricare moduli aggiuntivi per facilitare la gestione dei file e le funzionalità di desktop distant.
Fortinet ha affermato di aver anche scoperto l’attore di minaccia che propaga GH0stcringe tramite allegati PDF nelle e -mail di phishing che portano gli utenti a documentare le pagine HTM.
“La catena di attacco comprende numerosi frammenti di code e caricatori, rendendo il flusso di attacco complesso”, ha affermato la società. “Attraverso Winos, Holdhands e Gh0stcringe, questo gruppo di minacce evolve continuamente il suo malware e le sue strategie di distribuzione.”
