Questa backdoor per Windows sembrava invisibile, ma non è così

I ricercatori di sicurezza di SafeBreach hanno scoperto una backdoor teoricamente impossibile da rilevare. Ecco perché.

Avatar di Marco Doria

a cura di Marco Doria

Un'inedita backdoor di PowerShell che rientrava nella categoria FUD è stata scoperta da SafeBreach Labs. Le backdoor FUD, ovvero Fully Undetectable,  sono quelle che vengono considerate impossibili da rilevare. Ma sembra che questa backdoor non sia poi degna di questa etichetta.

Il malware in questione agirebbe da backdoor nei sistemi Windows camuffandosi tra i processi di aggiornamento. L'azienda ha pubblicato un comunicato sul proprio sito ufficiale, per mano di Tomer Bar, direttore delle ricerche di sicurezza, che spiega nel dettaglio la situazione.

In sostanza, il software dannoso e il relativo backend C2 denotano una certa competenza da parte di chi ne ha curato lo sviluppo, tuttavia la preparazione non si è dimostrata sufficiente, vista la presenza di alcuni errori che hanno permesso ai ricercatori di rilevare la backdoor.

Come descritto da Bar, l'attacco prende il via da un documento Word compromesso, qualcosa che potrebbe risultarvi familiare. Al suo interno, è presente una macro che avvia uno script di PowerShell sconosciuto. L'origine di tale file dovrebbe essere la Giordania, da cui è stato caricato il 25 agosto 2022.

Il documento è stato impiegato all'interno di una campagna di phishing, sotto forma di offerta di lavoro sullo stile di quanto visto su LinkedIn. Scaricando e aprendo il file, la macro avvia il processo di infezione.

Al momento, non ci sono informazioni sulle possibile vittime degli attacchi, che però rientrano quasi certamente nel pubblico di chi sta cercando lavoro.

Nel dettaglio, la macro rilascia un file updater.vbs e crea un'attività pianificata che si camuffa da aggiornamento di Windows. Quest'ultimo avvia lo script PowerShell contenuto nel file vbs da una cartella impostata da apparire come una normale destinazione di aggiornamento.

Lo script, a sua volta, apre una backdoor di controllo remoto. Il metodo di offuscamento, per evitare il rilevamento da parte di VirusTotal, prevede l'uso di caselle di testo all'interno del file Word che viene salvato nella falsa cartella di aggiornamento, mentre due nuovi script con estensione ps1 consentono, rispettivamente, di assegnare un ID alla vittima da parte del server C2 e recuperare i comandi da eseguire.

L'errore commesso dallo sviluppatore, secondo bar, sta negli identificatori assegnati agli utenti colpiti dal malware, la cui sequenza risulta prevedibile. Partendo da questo presupposto, i ricercatori sono riusciti a creare uno script che presenta al sistema di backend l'ID delle vittime, al fine di registrare le interazioni con il server CS tramite packet capture. Con un ulteriore strumento, poi, SafeBreach Labs è riuscita a estrarre i comandi criptati dai pacchetti acquisiti e ricostruire il funzionamento del malware e le operazioni eseguite.