È stato scoperto che un gruppo di hacker, che utilizza dispositivi USB per l’infezione iniziale, abusa di piattaforme online legittime, tra cui GitHub, Vimeo e Ars Technica, per ospitare payload codificati incorporati in contenuti apparentemente innocui. Gli aggressori nascondono questi payload inserendoli nei profili utente dei forum su siti di notizie tecnologiche o nelle descrizioni video su piattaforme di hosting multimediale.
Questi payload non comportano rischi per gli utenti che visitano queste pagine Web, poiché sono semplicemente stringhe di testo. Tuttavia, se integrati nella catena di attacco della campagna, sono fondamentali per scaricare ed eseguire malware negli attacchi. Gli hacker responsabili di questa campagna sono tracciati da Mandiant come UNC4990 e sono attivi dal 2020, prendendo di mira prevalentemente utenti in Italia.
L’attacco inizia con le vittime che fanno doppio clic su un file di collegamento LNK dannoso su un’unità USB. Non è noto come i dispositivi USB dannosi raggiungano le vittime mirate per avviare la catena di attacchi. Quando viene avviato, il collegamento esegue uno script PowerShell explorer.ps1, che a sua volta scarica un payload intermedio che decodifica in un URL utilizzato per scaricare e installare il downloader di malware denominato EMPTYSPACE.
Mandiant osserva che gli aggressori non sfruttano una vulnerabilità in questi siti ma utilizzano semplicemente le normali funzionalità del sito, come una pagina Informazioni in un profilo del forum Ars Technica o una descrizione video di Vimeo, per ospitare segretamente il payload offuscato senza destare sospetti. Il vantaggio di ospitare i payload su piattaforme legittime è che sono considerati affidabili dai sistemi di sicurezza, riducendo la probabilità che vengano contrassegnati come sospetti e rimossi automaticamente dai software di analisi integrati.
Lo script PowerShell decodifica, decrittografa ed esegue il payload intermedio recuperato dai siti legittimi e rilascia EMPTYSPACE sul sistema infetto, che stabilisce una comunicazione con il server di comando e controllo (C2) della campagna.
Nelle fasi successive dell’attacco, EMPTYSPACE scarica una backdoor denominata QUIETBOARD, una sofisticata backdoor multicomponente che offre un’ampia gamma di funzionalità, nonché miner di monete crittografiche che estraggono Monero, Ethereum, Dogecoin e Bitcoin. Gli indirizzi dei portafogli collegati a questa campagna hanno realizzato un profitto che supera i 55.000 dollari, escluso Monero, che è nascosto.
QUIETBOARD stabilisce inoltre la persistenza tra i riavvii del sistema e supporta l’aggiunta dinamica di nuove funzionalità tramite moduli aggiuntivi.
Mandiant conclude sottolineando come UNC4990 ami condurre esperimenti con le sue campagne per scoprire percorsi ottimali per la sua catena di attacco e affinare le sue metodologie. Nonostante le misure di prevenzione apparentemente semplici, il malware basato su USB continua a rappresentare una minaccia significativa e fungere da mezzo di propagazione efficace per i criminali informatici.