CyberwarSicurezza

Inexsmar e DarkHotel, evoluzione della specie cybercrime

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l’evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Il gruppo DarkHotel evolve le proprie strategie di attacco. Diverse le tecniche, diversi gli obiettivi. La sfida per il gruppo di cybercriminali è di rimanere competitivi rispetto all’evoluzioni dei sistemi di difesa

DarkHotel è il nome di un noto gruppo di cybercriminali, famosi per operare da circa un decennio contro migliaia di aziende, in tutto il mondo, sferrando i propri attacchi a partire dalle infrastrutture WiFi degli alberghi.

Utilizzano una tecnica particolare denominata Blending whaling, in pratica è phishing di alto livello, combinato con malware evoluto utilizzato mettendo in campo anche altre tecnologie importanti, per esempio i certificati digitali.

Per anni questo gruppo ha agito indisturbato, anche se il malware DarkHotel è stato riconosciuto con il suo marchio di fabbrica in alcuni post di blog specializzati.

Noi li abbiamo conosciuti tramite BitDefender, i cui ricercatori hanno studiato l’attacco di cui tutti parlano in questi giorni noto con il nome Inexsmar, che marca un certo distacco dal modo tradizionale di operare di DarkHotel tramite APT.

Inexsmar non è stato “forgiato” in questi giorni, risale a settembre 2016, è stato modellato per essere utilizzato in campagne contro figure politiche piuttosto che, come tradizione vuole, contro il personale dei dipartimenti ricerca e sviluppo delle aziende o gli amministratori delegati per carpirne prototipi, proprietà intellettuali, software.

Inexsmar mette in mostra in fase di attacco un nuovo meccanismo di payload, diverso dalle tecniche “zero-day” tradizionali, mescola un approccio attraverso il social engineering, con un Trojan complesso utilizzato per infettare le vittime prescelte. 

BitDefender su Ixesmar - L'azione di Mshta.jpg
BitDefender su Ixesmar – L’azione di Mshta.jpg

BitDefender su Ixesmar - L'azione di Mshta

L’attacco Inexsmar inizia con un’email di phishing funzionale a far lavorare un file RAR SFX, dietro cui si cela un Trojan che verifica di essere eseguito in una directory specifica WinStartupDir. Se le verifiche hanno successo, il malware tenta di collegarsi a un server C&C, invia informazioni di sistema e scarica il primo stadio del payload DarkHotel.

Per evitare sospetti il downloader apre un documento esca di Word dal nome “Pyongyang Directory Group….” con la corretta estensione docx. E’ il downloader di secondo livello quello che sferra il vero attacco: crea un processo mshta.exe e passa la Url del secondo payload come fosse un argomento. Mshta.exe non può slavare file direttamente sul disco attaccato così il gruppo attaccante ha adottato un approccio più smart e aggirato la restrizione. Il malware apre Mshta.exe e aggancia il collegamento al file temporaneo associato con i contenuti scaricati per recuperare il secondo payload. 

Bitdefender è convinta che il metodo di allineare tecniche di social engineering con a downloader Trojan multi stadio è uno step evolutivo per il gruppoi, considerata anche l’evoluzione delle tecnologie di difesa a disposizione delle vittime.