I ricercatori di Kaspersky hanno scoperto nuovi metodi usati dal gruppo cinese Cicada (APT10) per distribuire il malware LODEINFO. Si tratta di una backdoor che permette di infettare i computer delle vittime e raccogliere numerose informazioni a scopo di cyberspionaggio. Una delle tecniche sfrutta un noto antivirus per evitare la rilevazione.
LODEINFO: nuovi metodi di infezione
Durante un’indagine, gli esperti di Kaspersky hanno scoperto che la backdoor è stata distribuita tramite un documento Word allegato ad un’email di spear phishing. Se l’ignara vittima attiva la macro VBA, il malware copia un file ZIP sul computer. Al suo interno ci sono un eseguibile firmato e una DLL del software K7Security Suite. La DLL è il loader di LODEINFO.
Un altro metodo prevede l’invio di un’email con un archivio RAR autoestraente (SFX). Al suo interno ci sono un eseguibile e una DLL di K7Security Suite, oltre ad un documento Word. Quest’ultimo viene mostrato sullo schermo, mentre l’eseguibile carica in memoria la DLL, ovvero la backdoor. La tecnica, nota come DLL side-loading, permette spesso di aggirare la rilevazione.
Un metodo più recente prevede invece la distribuzione di LODEINFO tramite il downloader shellcode DOWNIISSA, eseguito dalla macro VBA presente nel documento Word. In questo caso viene sfruttata l’iniezione del codice nel processo WINWORD.EXE
. L’ultima versione della backdoor (0.6.7) è stata rilevata a settembre. I cybercriminali hanno utilizzato questo potente tool di cyberspionaggio contro varie organizzazioni giapponesi. Fortunatamente viene rilevato dalle soluzioni di sicurezza di Kaspersky.