Attacco non standard di PseudoManuscrypt

Un cyberattacco ha colpito un numero inaspettatamente grande di sistemi di controllo industriale.

Nel giugno 2021, i nostri specialisti hanno scoperto un nuovo malware chiamato PseudoManuscrypt. Il modus operandi di PseudoManuscrypt è abbastanza simile a quello di uno spyware. Funziona come un keylogger e può raccogliere informazioni sulle connessioni VPN stabilite e le password salvate, rubare i contenuti della funzione Appunti, registrare il suono usando il microfono integrato (se il computer ne ha uno) e catturare immagini. Una sua variante può anche rubare le credenziali dei servizi di messaggistica QQ e WeChat, catturare video dello schermo e possiede una funzione che può disabilitare le soluzioni di sicurezza. Infine, invia i dati al server dei criminali informatici.

Per conoscere i dettagli tecnici dell’attacco e gli indicatori di compromissione, si veda il nostro report ICS CERT.

Origine del nome

I nostri esperti hanno trovato alcune somiglianze tra il nuovo attacco e la già nota campagna Manuscrypt, ma l’analisi ha rivelato che un soggetto completamente diverso, il gruppo APT41, aveva precedentemente utilizzato parte del codice malware nei suoi attacchi. La responsabilità del nuovo attacco non è stata ancora stabilita, per questa ragione, per ora, lo chiamiamo PseudoManuscrypt.

Come PseudoManuscrypt infetta il sistema

Un’infezione di successo si basa su una catena di eventi piuttosto complessa. L’attacco a un computer di solito inizia quando l’utente scarica ed esegue un malware che imita un pacchetto di installazione pirata per un software popolare.

È possibile cadere nella trappola di PseudoManuscrypt cercando un software pirata su Internet. I siti web che distribuiscono codici dannosi che corrispondono a query popolari si posizionano tra i primi posti nei risultati dei motori di ricerca, una metrica che i cybercriminali sembrano monitorare.

Qui si può vedere chiaramente perché ci sono stati così tanti tentativi di infezione nei confronti dei sistemi industriali. Oltre a introdurre un malware spacciandolo per un software popolare (come, per esempio, suite per ufficio, soluzioni di sicurezza, sistemi di navigazione e sparatutto in prima persona 3D), i criminali offrono anche falsi pacchetti di installazione per software professionali, tra cui alcune utility per interagire con i controllori logici programmabili (PLC) utilizzando il ModBus. Il risultato: un numero insolitamente alto di computer del sistema di controllo industriale (ICS) infettati (7,2% del totale).

Risultati della ricerca di un software pirata. PseudoManuscrypt può posizionarsi tra i primi link.

Risultati della ricerca di un software pirata. PseudoManuscrypt può posizionarsi tra i primi link. Fonte

L’esempio nello screenshot qui sopra mostra un software per amministratori di sistema e ingegneri di rete. Teoricamente un tale vettore di attacco potrebbe fornire ai criminali l’accesso completo all’infrastruttura dell’azienda.

I cybercriminali utilizzano anche un meccanismo di consegna Malware-as-a-Service (MaaS), pagando altri criminali informatici per distribuire PseudoManuscrypt. Questa pratica ha dato origine a una funzione interessante che i nostri esperti hanno trovato quando stavano analizzando la piattaforma MaaS: a volte PseudoManuscrypt viene distribuito in bundle con altri malware che la vittima ha installato come un unico pacchetto. Lo scopo di PseudoManuscrypt è quello di spiare, ma altri programmi pericolosi potrebbero avere altri obiettivi, come crittografare i dati per poi estorcere denaro.

Qual è l’obiettivo di PseudoManuscrypt?

Il maggior numero di rilevamenti di PseudoManuscrypt si è verificato in Russia, India, Brasile, Vietnam e Indonesia. Il numero di coloro che hanno tentato di eseguire il codice dannoso è enorme e all’interno di questo gruppo, gli utenti di organizzazioni industriali rappresentano una quota significativa. Tra le vittime di questo settore si annoverano numerosi gestori di sistemi di automazione di edifici, aziende e fornitori di energia elettrica, fabbricanti, imprese edili e persino fornitori di servizi per impianti di trattamento dell’acqua. Inoltre, un numero insolitamente elevato di computer colpiti apparteneva ad aziende coinvolte in processi di ingegneria e produzione di nuovi prodotti industriali.

Come proteggersi da PseudoManuscrypt

Per proteggersi da PseudoManuscrypty è necessario disporre di soluzioni di protezione affidabili e regolarmente aggiornate; queste soluzioni devono altresí essere installate sulla totalità dei sistemi dell’azienda. Inoltre, raccomandiamo di istituire politiche che rendano difficile disabilitare la protezione.

Per quanto riguarda i sistemi IT nel settore industriale, offriamo anche una soluzione specializzata, Kaspersky Industrial CyberSecurity, che protegge i computer (anche quelli specializzati) e controlla i trasferimenti di dati che utilizzano protocolli specifici.

Infine, è necessario ricordare quanto sia importante aumentare la consapevolezza degli impiegati nei confronti dei rischi in materia di cybersecurity. Non si può escludere completamente la possibilità di un attacco di phishing, ma si può aiutare il personale a stare in all’erta, educare e spiegare loro i pericoli che si nascondono nell’installare programmi non autorizzati (in particolare quelli pirata) su computer con accesso a sistemi industriali.

 

Consigli