SocGholish Malware Abusa di BOINC per Cyberattacchi Coperti
Il malware downloader JavaScript noto come SocGholish (aka FakeUpdates) viene utilizzato per fornire un Trojan ad accesso remoto chiamato AsyncRAT e un legittimo progetto open source chiamato BOINC.
BOINC, abbreviazione di Berkeley Open Infrastructure Network Computing Client, è una piattaforma open source di "volunteer computing" gestita dall'Università della California con l'obiettivo di realizzare "elaborazione distribuita ad alte prestazioni su larga scala" utilizzando computer domestici partecipanti su cui è installata l'app.
"È simile a un miner di criptovaluta in questo modo (utilizzando risorse del computer per lavorare), ed è effettivamente progettato per premiare gli utenti con un tipo specifico di criptovaluta chiamata Gridcoin, progettata per questo scopo", hanno affermato i ricercatori di Huntress Matt Anderson, Alden Schmidt e Greg Linares in un rapporto pubblicato la scorsa settimana.
Queste installazioni dannose sono progettate per connettersi a un dominio controllato dall'attore ("rosettahome[.]cn" o "rosettahome[.]top"), agendo essenzialmente come server di comando e controllo (C2) per raccogliere dati dell'host, trasmettere payload e inviare ulteriori comandi. Al 15 luglio, 10.032 client sono collegati ai due domini.
L'azienda di cybersecurity ha affermato che, sebbene non abbia osservato alcuna attività di follow-on o attività eseguite dagli host infetti, ha ipotizzato che le "connessioni host potrebbero essere vendute come vettori di accesso iniziale da utilizzare da altri attori e potenzialmente utilizzate per eseguire ransomware".
Le sequenze di attacco di SocGholish in genere iniziano quando gli utenti atterrano su siti web compromessi, dove vengono invitati a scaricare un falso aggiornamento del browser che, una volta eseguito, attiva il recupero di payload aggiuntivi sulle macchine infiltrate.
Il downloader JavaScript, in questo caso, attiva due catene disgiunte, una che porta alla distribuzione di una variante senza file di AsyncRAT e l'altra che porta all'installazione di BOINC.
L'app BOINC, che viene rinominata come "SecurityHealthService.exe" o "trustedinstaller.exe" per eludere il rilevamento, imposta la persistenza utilizzando un'attività pianificata tramite uno script PowerShell.
L'abuso di BOINC per scopi dannosi non è passato inosservato ai responsabili del progetto, che stanno attualmente indagando sul problema e cercando un modo per "sconfiggere questo malware". Le prove dell'abuso risalgono ad almeno il 26 giugno 2024.
"La motivazione e l'intento dell'attore della minaccia caricando questo software su host infetti non sono chiari a questo punto", hanno affermato i ricercatori.
"I client infetti che si connettono attivamente a server BOINC dannosi presentano un rischio piuttosto elevato, poiché esiste la possibilità che un attore della minaccia motivato possa abusare di questa connessione ed eseguire qualsiasi numero di comandi o software dannosi sull'host per aumentare ulteriormente i privilegi o spostarsi lateralmente attraverso una rete e compromettere un intero dominio".
Per rimanere aggiornato sui più recenti attacchi di hacking e sulle ultime novità in ambito cybersecurity, visita la nostra pagina dedicata. Troverai analisi approfondite e consigli su come proteggerti dalle minacce informatiche.