Microsoft ha scoperto un nuovo malware venduto da un’azienda austriaca ad alcuni governi. Si tratta di un business sempre più diffuso, come dimostrano i vari attacchi effettuati con Pegasus di NSO Group. Il cyber mercenario, noto come KNOTWEED o DSIRF, sviluppa il malware Subzero che sfrutta vulnerabilità zero-day di Windows e Adobe Reader per eseguire diverse attività pericolose sul computer della vittima. Oltre alle patch, gli utenti dovrebbero installare anche una soluzione di sicurezza efficace, come Norton 360 Premium.
Subzero: analisi del malware
In base alle rilevazioni di Microsoft, KNOTWEED/DSIRF adotta il modello di business che combina “access-as-a-service” e “hack-for-hire“. Oltre a vendere il malware Subzero a terze parti fornisce anche le sue infrastrutture, quindi è direttamente coinvolta negli attacchi. Per quello più recente (maggio 2022) sono state sfruttate due vulnerabilità zero-day di Windows (CVE-2022-22047) e di Adobe Reader.
Subzero era nascosto in un documento PDF inviato via email. Il bug di Adobe Reader consentiva l’esecuzione di codice remoto, mentre quello di Windows, presente nel Client Server Run-Time Subsystem (CSRSS), consentiva di ottenere privilegi elevati. La catena dell’infezione prevedeva la scrittura su disco di una DLL dal processo di rendering di Adobe Reader. La vulnerabilità di Windows ha permesso di utilizzare un processo di sistema per caricare in memoria la DLL e quindi il malware.
Subzero può eseguire diverse attività, come catturare screenshot, registrare i tasti premuti (keylogging), rubare le credenziali, eseguire shell remote e scaricare plugin. Il malware viene rilevato e bloccato da Microsoft Defender e dalle principali soluzioni di sicurezza sul mercato.