Ben noto che Windows è soggetto ad attacchi e che non essendo open source è un po’ più difficile carpire tramite il codice, meno noto è il fatto che anche il noto logo del sistema operativo Microsoft nasconda una backdoor.
Un hacker che si concentra sullo spionaggio si è scoperto utilizzare un trucco steganografico per far venire alla luce una backdoor precedentemente non documentata in un logo di Windows nei suoi attacchi contro i governi del Medio Oriente.
Il Symantec Threat Hunter Team di Broadcom ha attribuito il fatto che gli strumenti d’attacco abbiano ricevuto un aggiornamento non da poco a un gruppo di hacker che traccia sotto il nome di Witchetty, noto anche come LookingFrog, un sottogruppo che è una costola del gruppo hacker TA410.
In che modo è possibile usare la backdoor tramite il logo di Windows?
Le intrusioni che vedono come protagonista il gruppo TA410, che pensa sia connesso con altro un gruppo di hacker cinesi cinesi noto come APT10 (aka Cicada, Stone Panda o TA429), presentano principalmente un impianto modulare chiamato LookBack.
L’ultima analisi di Symantec sugli attacchi tra febbraio e settembre 2022, durante i quali il gruppo ha preso di mira i governi di due paesi del Medio Oriente e la borsa di una nazione africana, evidenziando l’esistenza (nonché lo sfruttamento) di un’altra backdoor soprannominata Stegmap.
Il nuovo malware sfrutta la steganografia, una tecnica utilizzata per incorporare un messaggio (in questo caso, malware) in un documento non segreto, per estrarre codice dannoso da un’immagine bitmap di un vecchio logo di Microsoft Windows ospitato su un repository tramite GitHub.
“Mascherare il carico [il malware] in questo modo [tramite repository GitHub] ha consentito agli aggressori di ospitarlo su un servizio gratuito e affidabile“, hanno affermato i ricercatori. “È molto meno probabile che i download da host affidabili come GitHub sollevino segnali di pericolo rispetto ai download da un server di comando e controllo (C&C) controllato da un utente malintenzionato“.
Stegmap, come qualsiasi altra backdoor, ha una vasta gamma di funzionalità che gli consentono di eseguire operazioni di manipolazione dei file, scaricare ed eseguire eseguibili, terminare processi e apportare modifiche al registro di Windows.
Gli attacchi che portano all’implementazione di Stegmap trasformano le vulnerabilità di ProxyLogon e ProxyShell in Exchange Server; in una sorta di “trappola” atta ad eliminare la shell Web China Chopper, che viene quindi utilizzata per eseguire attività di furto di credenziali e dati vari, prima di avviare il malware LookBack.
In passato si è verificata un’intrusione in un’agenzia governativa in Medio Oriente rivela che Witchetty mantiene l’accesso da remoto per un massimo di sei mesi e organizza un’ampia gamma di sforzi post-sfruttamento, tra cui l’enumerazione della rete e l’installazione di una serie di malware personalizzati, fino al 1 settembre 2022.
“il gruppo ]Witchetty ha dimostrato la capacità di perfezionare e aggiornare continuamente il suo set di strumenti per compromettere obiettivi di interesse“, hanno affermato i ricercatori.
“Lo sfruttamento delle vulnerabilità sui server rivolti al pubblico fornisce un percorso verso [l’attacco delle] organizzazioni, mentre gli strumenti personalizzati abbinati all’uso abile delle tattiche del vivere fuori dalla zona [di interesse, il Medio Oriente in questo caso] gli consentono di mantenere una presenza persistente a lungo termine nelle organizzazioni prese di mira“.
C’è da aver paura di cliccare sul logo?
In breve: no!
GitHub è solitamente legato al mondo open source e agli “smanettoni”, per così dire, di conseguenza non è molto popolare tra l’utente comune e attualmente visto che non è particolarmente conosciuto, almeno per utenti che non lavorano in istituzioni, non c’è assolutamente alcun pericolo.
Ricordarsi di aggiornare periodicamente il sistema operativo perché è proprio scritto nell’EULA di Windows.
