I nostri esperti hanno trovato tracce dell’attività di un nuovo gruppo di cybercriminali che spia le grandi aziende industriali. I truffatori stanno compiendo attacchi mirati mediante uno strumento che i nostri ricercatori chiamano MontysThree, per andare alla ricerca di documenti sui computer delle vittime. Il gruppo sembra essere attivo almeno dal 2018.
In che modo MontysThree infetta i computer?
I criminali informatici utilizzano le classiche tecniche di spear phishing per penetrare nei computer delle vittime, inviando ai dipendenti delle aziende vittima delle e-mail contenenti file eseguibili camuffati da documenti in formato .pdf o .doc. Tali file di solito hanno nomi del tipo “Aggiornamento dati aziendali”, “Specifiche tecniche”, “Elenco dei numeri di telefono dei dipendenti 2019” e simili. In alcuni casi, i criminali informatici cercano di far spacciare questi file come documenti medici, rinominandoli “Risultati delle analisi mediche” o “Invitro-106650152-1.pdf” (Invitro è uno dei più grandi laboratori medici russi).
Cosa vogliono i cybercriminali?
MontysThree sfrutta documenti specifici in formato Microsoft Office e Adobe Acrobat in varie directory e su supporti collegati. Dopo l’infezione, il malware traccia il profilo del computer della vittima, inviando al suo server C&C la versione del sistema, un elenco dei processi e schermate dal desktop, nonché elenchi di documenti aperti di recente con le estensioni .doc, .docx, .xls, .xlsx, .rtf, .pdf, .odt, .psw e .pwd nelle directory USERPROFILE e APPDATA.
Cos’altro può fare MontysThree?
I suoi creatori hanno implementato diversi meccanismi piuttosto insoliti per questo malware. Ad esempio, dopo l’infezione, il modulo downloader estrae e decodifica il modulo principale, che viene cifrato in un’immagine utilizzando la steganografia. I nostri esperti ritengono che i criminali informatici abbiano scritto l’algoritmo steganografico da zero, che non l’abbiano semplicemente copiato da campioni open source, come avviene più comunemente.
Il malware comunica con il server C&C utilizzando servizi cloud pubblici come Google, Microsoft, Dropbox e WebDAV. Inoltre, il modulo di comunicazione può effettuare richieste tramite RDP e Citrix. Per di più, i creatori del malware non hanno incorporato nel loro codice alcun protocollo di comunicazione: MontyThree utilizza invece programmi legittimi (RDP, client Citrix, Internet Explorer).
Per mantenere il malware nel sistema della vittima il più a lungo possibile, un modulo ausiliario modifica i collegamenti sul pannello di avvio rapido di Windows, e quando l’utente lancia un collegamento (ad esempio su un browser), il modulo di caricamento di MontyThree viene eseguito contemporaneamente.
Chi sono i cybercriminali?
I nostri esperti non vedono alcun segno che colleghi i creatori di MontysThree ad attacchi passati. A quanto pare, si tratta di un gruppo di criminali informatici completamente nuovo e, a giudicare dai segmenti di testo del codice, la loro lingua madre è il russo. Allo stesso modo, i loro obiettivi principali sono probabilmente le aziende di lingua russa: alcune delle directory in cui il malware si infiltra esistono solo nella versione del sistema in alfabeto cirillico. Sebbene i nostri esperti abbiano anche trovato dettagli di account per servizi di comunicazione che suggeriscono un’origine cinese, credono che si tratti di false segnalazioni destinate a nascondere le tracce dei criminali informatici.
Una descrizione tecnica dettagliata di MontysThree, insieme agli indicatori di compromissione, sono disponibili nel nostro post su Securelist.
Cosa fare
Innanzitutto, ricordate ancora una volta a tutti i dipendenti che gli attacchi mirati il più delle volte iniziano con un’e-mail, per cui devono essere estremamente cauti nell’aprire tutti i file, soprattutto se inattesi. Per essere doppiamente sicuri che abbiano capito perché devono stare all’erta, raccomandiamo non solo di spiegare i pericoli di tale comportamento, ma anche di potenziare le loro capacità di contrastare le moderne minacce informatiche utilizzando il nostro servizio Kaspersky Automated Security Awareness Platform.
Inoltre, per proteggervi da attacchi mirati sofisticati, utilizzate soluzioni di sicurezza integrate che combinano la protezione delle workstation, le funzionalità EDR e gli strumenti aggiuntivi per analizzare e sconfiggere gli attacchi.