I ricercatori di Outpost24 hanno rilevato diversi attacchi effettuati da un gruppo, denominato Unfurling Hemlock (probabilmente di origine russa), contro sistemi informatici che si trovano principalmente negli Stati Uniti. Considerati i malware utilizzati si tratta quasi certamente di campagne di cyberspionaggio. Il metodo sfruttato per infettare i computer è piuttosto “originale”.
Malware cluster bomb
La catena di infezione inizia con l’invio del file WEXTRACT.EXE
in allegato ad email di phishing o copiato sul computer tramite loader di terze parti. L’eseguibile contiene una serie di file CAB innestati, un formato di compressione sviluppato da Microsoft. In ogni cabinet ci sono un altro file cabinet e un malware. Gli esperti di Outpost24 hanno individuato fino a sette livelli.
Quando viene raggiunto l’ultimo step inizia l’esecuzione dei malware in ordine inverso (dall’ultimo al primo). La tecnica simula quindi il funzionamento di una cluster bomb. Ciò permette ai cybercriminali di ottenere una maggiore ridondanza, mantenere la persistenza e avere più opportunità di monetizzazione.
Quasi tutti i malware sono infostealer o loader: Redline, RisePro, Mystic Stealer, Amadey e SmokeLoader. Ci sono inoltre vari tool per disattivare Microsoft Defender e altre funzionalità di sicurezza, modificare le chiavi del registro di Windows e offuscare il codice per ostacolare la rilevazione e l’analisi.
Al momento non è noto se il gruppo Unfurling Hemlock vende direttamente i dati oppure offre le informazioni raccolte ad altri cybercriminali. Tutti i malware inclusi nella “cluster bomb” possono essere rilevati dalle soluzioni di sicurezza aggiornate.