come ti installano una backdoor
Buongiorno cari lettori, oggi parleremo di come proteggersi.
Gli hacker impiegano varie campagne di phishing e per quanto si cerchi di spegnerle, trovano sempre nuovi modi. Recentemente, è stata identificata una nuova campagna di phishing che utilizza il comando Finger di Windows per scaricare una variante di malware chiamata MineBridge.
Il comando 'Finger' è un'utilità che inizialmente ha avuto origine nei sistemi operativi Linux e Unix e fondamentalmente permette agli utenti locali di recuperare una lista di utenti su una macchina remota o informazioni su un particolare utente remoto.
L'utilità permette anche di eseguire comandi per scoprire se un utente specifico è loggato, tuttavia, questo è usato raramente oggi. Oggi, anche Windows include un comando finger.exe che svolge la stessa funzione.
L'utilità finger in precedenza ha avuto anche problemi di sicurezza perché è stata abusata per trovare informazioni di base sugli utenti che possono essere utilizzate in attacchi di ingegneria sociale. Questa volta il problema è sorto quando i ricercatori di sicurezza hanno scoperto che il comando finger può essere utilizzato come LOLBin per scaricare malware o esfiltrare dati senza avvisare le soluzioni di sicurezza come i meccanismi antivirus.
FireEye ha segnalato per la prima volta il malware MineBridge nel dicembre 2019 quando hanno osservato alcune campagne di phishing rivolte alle istituzioni finanziarie sudcoreane. Le email erano mascherate da documenti Word contenenti dettagli di candidati al lavoro mirati per specifiche aziende.
Il mittente molto abilmente raccomandava anche di prendere in considerazione il CV del candidato anche se non c'erano aperture attuali. Le e-mail non erano solo ben scritte ma anche credibili.
Quando l'email viene aperta, viene visualizzato un documento che afferma che il documento è stato creato utilizzando la vecchia versione di Windows e per visualizzare il contenuto, l'utente deve "abilitare la modifica" e poi "abilitare il contenuto". Questo installa la backdoor attraverso la macro maligna che recupera e scarica un certificato codificato in Base64.
Secondo Bleeping Computer, il certificato è un downloader malware che utilizza il DDL hijacking per installare la backdoor MineBridge. Una volta installato, il malware darà il pieno controllo del dispositivo all'attore della minaccia remota che avrà accesso al microfono del dispositivo infetto e sarà in grado di ascoltare ed eseguire altre attività dannose.
Interessante, scarica un eseguibile di teamviewer e una dll malevola, sideloaded da teamviewer, contenente il malware MINEBRIDGE - Il comportamento è lo stesso, a parte il finger.exe, anche il TLD c2 *.top del report fireeye - https://t.co/qKFFlUnA0phttps://t.co/4hMJPlAGJg pic.twitter.com/QdIuwbe2Gq
- Giuseppe `N3mes1s` (@gN3mes1s) 15 gennaio 2021
Il modo più semplice per combattere questi attacchi è scaricare soluzioni avanzate di filtraggio dello spam che bloccano le email sospette e si assicurano che non raggiungano la casella di posta dell'utente. Poiché il comando Finger in sé è usato raramente oggi, si raccomanda agli amministratori di bloccare il comando finger.exe attraverso AppLocker o altri metodi.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
