Microsoft ha tracciato le recenti attività del gruppo DEV-0569 (nome temporaneo finché non viene scoperta l’identità degli autori) che distribuiscono diversi malware, tra cui il ransomware Royal. L’azienda di Redmond ha descritto in dettaglio le varie tattiche, tecniche e procedure usate durante gli attacchi, fornendo alcuni consigli per proteggere i computer, tra cui l’installazione di una soluzione di sicurezza.
Metodi usati per distribuire i malware
La catena di infezione prevede innanzitutto la distribuzione di BATLOADER, un downloader che scarica gli altri payload. Le vittime ricevono email di phishing con link a presunti installer di Zoom, AnyDesk o TeamViewer, ospitati su siti fasulli o servizi legittimi (OneDrive o GitHub). In alcuni casi sono stati utilizzati anche file VHD, ma il contenuto è sempre lo stesso, ovvero BATLOADER.
Le email di phishing sono inviate tramite form di contatto dei siti per cercare di eludere le protezioni oppure tramite malvertising (inserzioni sui motori di ricerca che puntano ai siti fasulli). BATLOADER scarica diversi script PowerShell e tool che permettono di raccogliere informazioni sui computer, disattivare gli antivirus e distribuire altri malware.
Dopo aver ottenuto i privilegi più elevati, i cybercriminali installano il trojan bancario Gozi, l’info-stealer Vidar e il ransomware Royal. Microsoft Defender Antivirus e altre soluzioni di sicurezza rilevano e bloccano l’accesso ai siti infetti e il download dei malware.