I ricercatori di Sophos hanno individuato diversi attacchi effettuati con una versione evoluta della tecnica DLL sideloading. Invece di una singola DLL, i cybercriminali del gruppo Dragon Breath (noto anche come Golden Eye Dog o APT-Q-27) usano due DLL per cercare di aggirare le protezioni di Windows e delle soluzioni di sicurezza. La maggioranza degli utenti colpiti si trova in Asia, ma questo metodo può essere facilmente esteso ad altri paesi.
Double DLL sideloading
Windows conserva le DLL nella directory System32
. Ma quando viene eseguito un file, il sistema operativo carica in memoria la DLL infetta (con lo stesso nome dell’originale) che si trova nella directory dell’eseguibile. La tecnica è nota come DLL sideloading. Il gruppo Dragon Breath ha sfruttato una versione avanzata che può essere denominata double DLL sideloading.
La catena di infezione inizia con il download di una versione fasulla di Telegram per Windows, iOS o Android da un sito pubblicizzato tramite phishing o SEO poisoning. L’installer crea un scorciatoia sul desktop che non punta all’eseguibile di Telegram, ma ad una versione rinominata e legittima di regsvr32.exe
che esegue una versione rinominata e legittima di scrobj.dll
. Come input viene fornito il file appR.dat
che contiene codice JavaScript.
Quest’ultimo avvia l’interfaccia desktop di Telegram e, contemporaneamente, copia altri componenti sul computer, tra cui una versione infetta di BASICNETUTILS.dll
che carica il payload finale dal contenuto del file templateX.txt
, ovvero ServerDLL.dll
, una backdoor che può eseguire diverse attività, come il furto delle criptovalute dall’estensione MetaMask per Chrome.