Un download falso di Slack offre agli attaccanti un desktop nascosto sul tuo computer
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un programma di installazione malevolo camuffato da Slack viene distribuito tramite domini di typosquatting per ingannare utenti ignari. Una volta eseguito, installa un’applicazione Slack legittima insieme a un caricatore nascosto che si connette a un server di comando e controllo, recupera un payload HVNC crittografato e lo inietta in explorer.exe. Il malware crea quindi una sessione desktop invisibile che consente agli attaccanti di navigare, interagire ed eseguire azioni sulla macchina compromessa senza che la vittima se ne accorga. Questo approccio è particolarmente pericoloso in ambienti in cui il marchio Slack è ampiamente affidato sia da singoli che da utenti aziendali.
Indagine
I ricercatori hanno disimballato l’installatore e hanno scoperto due file temporanei: slack.tmp, che conteneva un pacchetto di aggiornamento Squirrel legittimo, e svc.tmp, che fungeva da caricatore malevolo. L’analisi ha mostrato che il caricatore ha stabilito la persistenza tramite una chiave di registro Run, ha risolto dinamicamente le API di Windows durante l’esecuzione, ha scaricato una DLL crittografata, l’ha salvata come wmiprvse_*.tmp, e ha utilizzato un’iniezione basata su sezioni per caricarla in explorer.exe. Gli investigatori hanno anche osservato comunicazioni in uscita con un server di comando e controllo sulla porta TCP 8081. Era presente anche logica anti-analisi, inclusa la rilevazione di debugger e controlli di tempistica delle sandbox.
Mitigazione
Gli utenti dovrebbero scaricare Slack solo dal sito slack.com ufficiale o da link salvati di fiducia e verificare le firme digitali prima di eseguire qualsiasi installatore. Le organizzazioni dovrebbero abilitare protezioni in tempo reale capaci di bloccare domini malevoli noti ed eseguibili sospetti. I difensori dovrebbero inoltre monitorare traffico in uscita inaspettato sulla porta 8081, voci di registro Run non familiari, e processi figli anomali associati ad applicazioni fidate. Le rilevazioni basate sul comportamento possono aiutare a identificare sessioni desktop nascoste e attività correlate a HVNC prima che gli attaccanti ottengano pieno accesso interattivo.
Risposta
Se viene rilevata questa attività, isolare immediatamente l’endpoint interessato dalla rete, terminare il caricatore malevolo e qualsiasi processo correlato a HVNC, e rimuovere il meccanismo di persistenza dalla chiave di registro Run. Deve essere eseguita una scansione malware completa, e tutti i domini e gli indirizzi IP malevoli collegati devono essere bloccati nell’ambiente. Qualsiasi credenziale usata sulla macchina compromessa deve essere reimpostata da un dispositivo pulito, e il team di sicurezza deve raccogliere artefatti forensi per supportare ulteriori indagini e delimitazioni.
graph TB classDef technique fill:#ffcc99 classDef artifact fill:#c2f0c2 classDef process fill:#f9d5e5 classDef tool fill:#d9d9d9 classDef malware fill:#ffd699 site_typosquat[“<b>Artefatto</b> – Sito typosquatted<br/>URL: slacks.pro o debtclean-ua.sbs”] class site_typosquat artifact download_exe[“<b>Artefatto</b> – slacku20114u201149u201181.exe<br/>File eseguibile malevolo distribuito dal sito falso”] class download_exe artifact run_registry[“<b>Artefatto</b> – Chiave Run del Registro<br/>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\com.squirrel.slack.slack”] class run_registry artifact hvnc_dll[“<b>Artefatto</b> – DLL HVNC cifrata in sezione PE personalizzata”] class hvnc_dll artifact c2_server[“<b>Artefatto</b> – Server di comando e controllo<br/>Porta 8081 tramite WinHTTP”] class c2_server artifact explorer_proc[“<b>Processo</b> – explorer.exe (shell di Windows)”] class explorer_proc process loader[“<b>Malware</b> – Loader per decrittazione, C2 e injection”] class loader malware mavinject[“<b>Strumento</b> – Mavinject (esecuzione proxy binari di sistema)”] class mavinject tool initial_access[“<b>Tecnica</b> – <b>T1204.001 Esecuzione utente: link malevolo</b><br/><b>Descrizione</b>: La vittima clicca un link che porta a un sito malevolo con download automatico”] class initial_access technique execution_file[“<b>Tecnica</b> – <b>T1204.002 Esecuzione utente: file malevolo</b><br/><b>Descrizione</b>: La vittima esegue il file scaricato”] class execution_file technique persistence_active_setup[“<b>Tecnica</b> – <b>T1547.014 Avvio automatico: Active Setup</b><br/><b>Descrizione</b>: Viene creato un valore Run nel registro per la persistenza”] class persistence_active_setup technique obfuscation[“<b>Tecnica</b> – <b>T1027 File o informazioni offuscate</b><br/><b>Descrizione</b>: Payload cifrato, padding e risoluzione API runtime”] class obfuscation technique embedded_payload[“<b>Sottotecnica</b> – <b>T1027.009 Payload incorporato</b>”] class embedded_payload technique binary_padding[“<b>Sottotecnica</b> – <b>T1027.001 Padding binario</b>”] class binary_padding technique compile_after_delivery[“<b>Sottotecnica</b> – <b>T1027.004 Compilazione dopo consegna</b>”] class compile_after_delivery technique stripped_payload[“<b>Sottotecnica</b> – <b>T1027.008 Payload ripulito</b>”] class stripped_payload technique c2_communication[“<b>Tecnica</b> – <b>T1071.001 Protocolli web (WinHTTP)</b><br/><b>Descrizione</b>: Comunicazione con C2 su TCP 8081”] class c2_communication technique reflective_loading[“<b>Tecnica</b> – <b>T1620 Caricamento riflessivo del codice</b><br/><b>Descrizione</b>: DLL HVNC caricata e decifrata in memoria”] class reflective_loading technique process_injection[“<b>Tecnica</b> – <b>T1055.002 Iniezione PE</b><br/><b>Descrizione</b>: Iniezione DLL in explorer.exe”] class process_injection technique system_binary_proxy[“<b>Tecnica</b> – <b>T1218.013 Proxy binari di sistema: Mavinject</b><br/><b>Descrizione</b>: Uso di Mavinject per iniettare DLL malevole”] class system_binary_proxy technique site_typosquat –>|ospita pagina malevola| initial_access initial_access –>|attiva download| download_exe download_exe –>|eseguito dalla vittima| execution_file execution_file –>|persistenza tramite| persistence_active_setup persistence_active_setup –>|crea| run_registry run_registry –>|carica| loader loader –>|applica| obfuscation obfuscation –>|usa| embedded_payload obfuscation –>|usa| binary_padding obfuscation –>|usa| compile_after_delivery obfuscation –>|usa| stripped_payload loader –>|contatta| c2_server c2_server –>|abilita| c2_communication loader –>|decifra e carica| hvnc_dll hvnc_dll –>|caricata tramite| reflective_loading reflective_loading –>|inietta in| explorer_proc explorer_proc –>|bersaglio| process_injection process_injection –>|usa| mavinject mavinject –>|esegue| system_binary_proxy
Flusso de Attacco
Rilevamenti
Possibile che sia stato creato uno Stream di Dati Alternativo (ADS) (via file_event)
Visualizza
Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizza
IOC (HashSha256) da rilevare: Un download falso di Slack sta fornendo agli attaccanti un desktop nascosto sulla tua macchina
Visualizza
IOC (SourceIP) da rilevare: Un download falso di Slack sta fornendo agli attaccanti un desktop nascosto sulla tua macchina
Visualizza
IOC (DestinationIP) da rilevare: Un download falso di Slack sta fornendo agli attaccanti un desktop nascosto sulla tua macchina
Visualizza
Rilevazione di Iniezione Basata su Sezioni in Explorer.exe [Windows Sysmon]
Visualizza
Installatore Falso di Slack che Crea una Sessione Desktop Nascosta [Creazione di Processi Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Prevolo della Telemetria & Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrativa dell’Attacco & Comandi:
- Accesso Iniziale – L’attaccante consegna un installatore trojanizzato denominato
slack-4-49-81.exetramite un’email di phishing. - Esecuzione – La vittima esegue il file; esso estrae un caricatore nascosto
svc.tmpto%TEMP%. - Creazione di Desktop Nascosto (T1564.003) –
svc.tmpinvocaCreateProcessconSW_HIDE, avviando una sessione desktop nascosta che ospita uno strumento di accesso remoto. - Persistenza (T1547.013 & T1546.016) – Il caricatore registra un server COM che viene avviato automaticamente tramite un collegamento piazzato nella cartella Esecuzione Automatica, garantendo l’esecuzione al riavvio.
- Installazione Potenziale di un Rootkit (T1014) – Se elevato,
svc.tmpdeposita un driver rootkit in%SystemRoot%System32driversmaldrv.sys.
- Accesso Iniziale – L’attaccante consegna un installatore trojanizzato denominato
-
Script di Test di Regressione: Lo script riproduce i passaggi 2–4 con binari innocui (copie di
notepad.exe) preservando gli esatti nomi di file che la regola monitora.# ------------------------------------------------- # Test di Regressione – Simulazione di Installatore Falso di Slack # ------------------------------------------------- # 1. Preparare i binari falsi (utilizzare benigno notepad.exe) $temp = $env:TEMP $installer = Join-Path $temp "slack-4-49-81.exe" $loader = Join-Path $temp "svc.tmp" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force # 2. Eseguire l'installatore – questo attiverà la regola di rilevamento Write-Host "[*] Avviando l'installatore falso ..." Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null # 3. Simulare la creazione del desktop nascosto (caricatore) Write-Host "[*] Avviando il caricatore nascosto ..." Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null # 4. Creare un collegamento nella cartella Esecuzione Automatica per emulare la persistenza $startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup" $shortcutPath = Join-Path $startup "Slack Hidden.lnk" $shell = New-Object -ComObject WScript.Shell $shortcut = $shell.CreateShortcut($shortcutPath) $shortcut.TargetPath = $loader $shortcut.WindowStyle = 7 # Hidden $shortcut.Save() Write-Host "[+] Simulazione completata. Controlla SIEM per eventi con Immagine che termina in 'slack-4-49-81.exe' o 'svc.tmp'." -
Comandi di Pulizia: Rimuovere gli artefatti di test e qualsiasi collegamento creato.
# Script di pulizia – eseguire con lo stesso contesto dell'utente $temp = $env:TEMP Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue $shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk" Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue Write-Host "[+] Pulizia completata."