I ricercatori di IBM hanno scoperto un nuovo malware, denominato Domino, sviluppato dagli ex membri del gruppo Conti in collaborazione con il gruppo FIN7. Il malware è composto da due moduli, una backdoor e un info-stealer. I primi attacchi contro le reti aziendali sono stati individuati nel mese di febbraio 2023.
Domino Backdoor e Project Nemesis
I ricercatori di IBM aveva individuato a fine 2022 il malware Dave Loader che il gruppo Conti/TrickBot ha usato per distribuire Cobalt Strike, Emotet e IcedID. Recentemente il loader è stato sfruttato per distribuire Domino Backdoor che raccoglie informazioni sul sistema e le invia al server C2 (command and control). In cambio riceve un altro payload, ovvero Domino Loader.
Quest’ultimo scarica dal server remoto un info-stealer scritto in linguaggio .NET, denominato Project Nemesis. La catena di infezione inizia con email di phishing, malvertising o altre tecniche, come si può vedere nell’immagine.
Project Nemesis viene venduto nei forum del dark web da dicembre 2021. Può rubare diversi dati dai browser (cookie, credenziali, numeri delle carte di credito, cronologia) e da varie applicazioni, tra cui Steam, Telegram, Discord, crypto wallet e VPN. I dati sono quindi aggiunti ad un archivio ZIP e inviati al server C2. I cybercriminali possono gestire gli attacchi attraverso un pannello di controllo web.
La scoperta dei ricercatori di IBM evidenzia la stretta collaborazione tra vari gruppi e la capacità di riorganizzarsi dopo eventuali interventi delle forze dell’ordine. Gli utenti possono limitare i rischi utilizzando una soluzione di sicurezza.