Pirati informatici non ancora identificati hanno cercato nel recente passato di compromettere i PC dei dipendenti di alcuni centri di assistenza di Samsung Italia tramite l'installazione di un trojan. Tutto è iniziato ad aprile scorso ma i dettagli sono stati resi noti soltanto ora da Gianfranco Tonello, Federico Girotto e Michele Zuin in un report pubblicato dalla società di sicurezza TG Soft. L'episodio inoltre sembra a sua volta la replica di un altro attacco hacker verificatosi in Russia, sempre ai danni di Samsung.
Tutto inizia solitamente con la ricezione di una email che ha per oggetto "Comunicazione 18-061: gestione centri non autorizzati". Scritta in un perfetto italiano, sembra provenire da un indirizzo legittimo di Samsung, l'IT Service Manager di Samsung Italia e contiene anche i contatti reali (numero di telefono ed email) del presunto mittente.
In allegato alla email poi c'è un file Excel chiamato QRS non autorizzati.xlsx che contiene un elenco dei centri di assistenza effettivamente non autorizzati, ma anche del codice in grado di sfruttare una vulnerabilità di Office.
Si tratta di una falla di sicurezza conosciuta, CVE-2017-11882, che avvia l'esecuzione di malware all'apertura del file. In questa specifica implementazione però l'attacco è ancora più subdolo, perché l'apertura del file avvia il download del malware da un server che, secondo i ricercatori, sarebbe collegato a un centro di assistenza autorizzato Samsung.
Il file così scaricato è salvato come notepad.exe ed ospita al suo interno un secondo eseguibile, BootstrapCS.exe, che si occupa poi della reale installazione del trojan, che avviene dopo aver verificato di non trovarsi in una sandbox o un sistema virtuale. Il trojan è una versione modificata di Imminent-Monitor, un software commerciale con funzioni di controllo remoto che consente di ottenere il controllo completo del computer ospite.
Lo scopo finale dei pirati non è noto ma tramite il trojan ne venivano installati diversi altri, ciascuno associato a un diverso server Command and Control, con funzioni di spionaggio, tra cui la possibilità di registrare dalla webcam e dal microfono, catturare schermate dal monitor e registrare tutto ciò che viene digitato sulla tastiera. L'attacco avrebbe avuto l'obiettivo di colpire tra i 200 e i 300 computer all'interno dell'ecosistema dei centri di assistenza Samsung.