Questo articolo è stato pubblicato da questo sito
È stata rilevata una nuova minaccia per il sistema operativo di Windows. Si tratta di una backdoor che agisce tramite PowerShell, il programma introdotto da Microsoft a partire da Windows 7 che consente agli utenti di impartire comandi al sistemi e aprire programmi attraverso un terminale senza utilizzare l’interfaccia grafica di Windows. Finora, questa specifica minaccia, la quale si rende invisibile dal sistema di sicurezza di Windows mascherandosi come parte di un legittimo processo di aggiornamento di Windows, non era mai stata documentata.
Nel gergo informatico, una backdoor è una porta di accesso a un sistema informatico che consente a un utente remoto di controllarlo. Esistono programmi di gestione remota assolutamente legittimi, come ad esempio TeamViewer, ma le backdoor rappresentano anche uno strumento efficace per gli hacker per accedere illegalmente al sistema di una vittima. In questo caso, pare che si tratti del lavoro di professionisti. “Lo strumento segreto auto-sviluppato e i comandi C2 associati sembrano essere il lavoro di un sofisticato e sconosciuto attore che ha preso di mira circa 100 vittime“, ha affermato in un nuovo rapporto Tomer Bar, direttore della ricerca sulla sicurezza di SafeBreach.
La minaccia partirebbe da un documento di Microsoft Word “armato” – ovvero contenente un malware – che sarebbe stato caricato dalla Giordania il 25 agosto 2022 e sarebbe arrivato a un centinaio di utenti tramite un attacco di spear phishing, ovvero una truffa realizzata tramite comunicazione elettronica, su LinkedIn. Quando l’utente va a scaricare il documento compromesso da LinkedIn, viene eseguito uno script PowerShell tramite un pezzo di codice macro incorporato. Lo script è costruito per poi connettersi a un server di comando e controllo remoto, grazie al quale è possibile eseguire un secondo script, e il processo si ripete. Alcuni dei comandi emessi consistono nell’esfiltrare l’elenco dei processi in esecuzione, enumerare file in cartelle specifiche, avviare whoami ed eliminare file nelle cartelle pubbliche.
Secondo gli esperti che hanno studiato il caso, l’autore del programma ha commesso un errore nell’identificare in modo univoco ogni vittima tramite un banale identificatore incrementale. Ciò ha permesso loro di ricostruire il percorso del malware e identificarlo prima che la minaccia diventasse più larga scala. Ad oggi, almeno 32 fornitori di sicurezza informatica e 18 motori anti-malware sanno riconoscere e segnalare la minaccia nel momento in cui lo script di PowerShell entra nel sistema operativo.
