Gli esperti di Check Point Research hanno scoperto una campagna di phishing, denominata SmugX, effettuata da cybercriminali cinesi contro ministeri degli esteri e ambasciate di alcuni paesi europei, tra cui Francia, Svezia e Slovacchia. L’obiettivo finale è installare PlugX, un RAT modulare che consente di accedere al computer e di eseguire varie attività.
SmugX: HTML Smuggling e PlugX
La catena di infezione inizia con l’invio di documenti HTML in allegato alle email. All’interno del codice HTML sono nascosti i payload che vengono scaricati quando l’ignara vittima visualizza il documento. La tecnica, nota come HTML Smuggling, consente di aggirare alcune misure di sicurezza.
I ricercatori di Check Point hanno individuato due varianti. La prima permette di scaricare un archivio ZIP che contiene un file LNK. Quest’ultimo esegue uno script PowerShell che scarica un altro archivio ZIP con tre file: un eseguibile legittimo (robotaskbaricon.exe
o passwordgenerator.exe
), Roboform.dll
e data.dat
.
La seconda variante scarica un file JavaScript che esegue un file MSI. Quest’ultimo copia su disco i suddetti tre file. In entrambi i casi, i due eseguibili caricano in memoria Roboform.dll
(DLL sideloading) che decifra il payload nascosto nel file data.dat
, ovvero il malware PlugX.
Si tratta di un RAT (Remote Access Trojan) modulare con varie funzionalità aggiunte tramite plugin. Può rubare file dal computer, scattare screenshot, eseguire comandi e registrare i tasti (keylogging). In pratica le classiche attività di uno spyware. La persistenza viene ottenuta con una chiave nel registro, mentre l’ignara vittima viene distratta con un documento PDF mostrato sullo schermo.
I ricercatori hanno trovato diverse similitudini con gli attacchi effettuati dai gruppi cinesi RedDelta, Mustang Panda e Camaro Dragon, ma non hanno ancora scoperto gli autori della campagna SmugX.