I cybercriminali studiano sempre nuove tecniche per distribuire malware, cercando di aggirare la protezione delle soluzioni di sicurezza. I ricercatori di Palo Alto Networks hanno scoperto un aumento crescente dei servizi di cloud storage per eseguire attacchi contro specifici target. Il noto gruppo russo Cozy Bear (Nobelium) ha sfruttato Google Drive e Dropbox per colpire diplomatici occidentali.
Google Drive e Dropbox per distribuire malware
I cybercriminali russi hanno utilizzato i servizi di cloud storage in due distinte campagne di spear phishing rilevate tra maggio e giugno 2022. I target erano diplomatici delle ambasciate del Portogallo e del Brasile. In allegato all’email c’era un file PDF contenente un link ad un’agenda relativa ad un presunto incontro con l’ambasciatore. In realtà il link puntava ad un file HTML pubblicato su Dropbox e Google Drive.
Il file HTML è il dropper EnvyScout che scarica sul computer un’immagine ISO, all’interno della quale ci sono quattro file: Agenda.exe
, Information.lnk
, Vcruntime140.dll
e Vctool140.dll
. L’ignara vittima avvia il processo di infezione se esegue il file Information.lnk
(l’unico visibile, mentre gli altri tre sono nascosti in Esplora File).
Viene quindi eseguito il file Agenda.exe
che carica in memoria il file Vcruntime140.dll
. Quest’ultimo carica infine in memoria il file Vctool140.dll
.
Le informazioni dell’utente sono inviate su Google Drive o Dropbox, da cui viene scaricato Cobalt Strike, un noto tool usato per i penetration test, ma sfruttato impropriamente per eseguire una serie di azioni, tra cui l’installazione di altri malware. È quindi consigliato l’uso di una soluzione di sicurezza che include antivirus e firewall, come Norton 360 Premium.