Malware EMPTYSPACE: dispositivi USB e siti in pericolo

La società di sicurezza informatica Mandiant ha recentemente scoperto una pericolosa  minaccia denominata UNC4990, attiva almeno dal 2020, che si serve di dispositivi USB come vettore di infezione iniziale. Ciò fa parte di una sofisticata catena di attacco che prende di mira principalmente gli utenti italiani, con l’obiettivo di guadagni finanziari. La campagna si basa su una serie di tattiche avanzate che rendono difficile la rilevazione e l’analisi da parte dei sistemi di sicurezza. Al momento però non è chiaro come questi dispositivi vengano recapitati alle vittime.

Il modus operandi di UNC4990 inizia con la distribuzione di dispositivi USB compromessi contenenti file di collegamento .lnk.  Una volta che il collegamento viene aperto, scatta l’esecuzione di uno script PowerShell, che a sua volta scarica un payload intermedio. Questo payload viene decodificato in un URL utilizzato per il download e l’installazione di un downloader di malware denominato “EMPTYSPACE“.

Il malware EMPTYSPACE in grado di rubare criptovalute

Una volta attivo, EMPTYSPACE stabilisce una comunicazione con il server di comando e controllo degli hacker. In seguito, scarica una backdoor chiamata “QUIETBOARD” e una serie di criptominer nascosti, progettati per estrarre Monero, Ethereum, Dogecoin e Bitcoin. Mandiant ha tracciato gli indirizzi dei wallet utilizzati dagli attaccanti, rivelando un bottino totale di 55 mila dollari

La backdoor QUIETBOARD offre agli attaccanti una gamma di funzionalità avanzate, tra cui l’esecuzione di comandi, script e codice provenienti dal server di comando e controllo. Questa backdoor è in grado di alterare il contenuto degli appunti per rubare criptovalute, compromettere unità rimovibili per diffondere il malware su altri sistemi e acquisire screenshot per rubare informazioni.

Ciò che rende particolare questa catena di attacco è il modo in cui i payload intermedi vengono nascosti. UNC4990 sfrutta piattaforme legittime come GitHub, GitLab, Vimeo e siti come ArsTechnica per ospitare stringhe codificate Base64 e crittografate AES. Questi payload intermedi, anche se non costituiscono un rischio per gli utenti che visitano tali pagine web, vengono utilizzati come parte integrante della catena di attacco per innescare il download del malware.

L’astuzia di questa tattica risiede nel nascondere i payload su piattaforme autorizzate e di fiducia. In questo modo si riducono le probabilità di rilevamento da parte dei sistemi di sicurezza. Inoltre, sfruttando piattaforme con ampie reti di distribuzione di contenuti, gli attaccanti riescono a mimetizzare i payload all’interno di grandi volumi di traffico legittimo, rendendo ancor più difficile la loro individuazione. Questa tecnica sottolinea la necessità di una maggiore consapevolezza e sicurezza informatica da parte degli utenti e delle piattaforme stesse.