Documento Falso, Accesso Reale: L’Impersonificazione di Foxit Abilita il Controllo VNC Nascosto

Sommario

Gli attori delle minacce stanno distribuendo eseguibili malevoli che sembrano essere legittimi installer di Foxit PDF. L’installer fasullo recupera un pacchetto MSI dannoso che inserisce componenti UltraVNC all’interno di una directory a tema GPU fasulla e mantiene la persistenza tramite una chiave di registro Run. Una volta installato, il malware configura un server VNC nascosto che avvia connessioni in uscita verso un dominio malevolo, offrendo agli attaccanti un accesso remoto furtivo al sistema compromesso.

Indagine

L’indagine ha rivelato file falsi come datei.exe and personalfoxypdf.msi, che hanno scaricato e installato UltraVNC in C:intel-GPU. Uno script batch ha poi enumerato i GUID dei profili di rete, creato eccezioni firewall, scritto un identificatore univoco su IDD.txt, e aggiunto una voce di registro Run per lanciare gpu.exe con parametri che si collegavano a hallonews.servemp3.com:5500. I ricercatori hanno anche osservato che il malware ha terminato forzatamente rundll32.exe e visualizzato un’immagine del passaporto come diversivo per la vittima.

Mitigazione

Le organizzazioni dovrebbero applicare un elenco di consentiti per le applicazioni, validare le firme del codice degli installer prima dell’esecuzione, bloccare i file MSI non fidati, e monitorare le voci di registro Run che puntano a eseguibili sconosciuti. Anche il traffico in uscita verso domini sospetti dovrebbe essere limitato. La consapevolezza degli utenti rimane essenziale, soprattutto riguardo ai rischi di lanciare installer inaspettati mascherati come software affidabili.

Risposta

Se questa attività viene rilevata, isolare immediatamente l’endpoint compromesso, terminare il processo UltraVNC, rimuovere la C:intel-GPU directory, e cancellare la voce di registro Run malevola. Resettare eventuali credenziali potenzialmente esposte, condurre un’indagine forense completa e aggiornare le regole di rilevamento per coprire gli indicatori di compromissione identificati.

Esecuzione di Simulazione

Prerequisito: Il Controllo di Prevolo Telemetria & Risultati deve essere superato.

Narrativa & Comandi dell’Attacco

1. Crea la directory nascosta “intel-GPU” per imitare un percorso legittimo di un fornitore di GPU.
2. Rilascia payload dannosi (gpu.exe, UltraVNC.ini, ecc.) in quella directory. L’eseguibile è una copia del server UltraVNC rinominata per camuffamento.
3. Distribuisci uno script batch (gpu.cmd) che:
   • Aggiunge una regola firewall che permette VNC in ingresso (porta 5900).
   • Registra il servizio VNC per la persistenza tramite sc create.
   • Scrive una configurazione minima su UltraVNC.ini.
4. Esegue lo script batch usando cmd.exe (Esecuzione tramite Proxy Binario Firmato).

Questi passaggi generano gli eventi esatti di creazione file elencati nella regola di rilevamento, oltre a eventi di creazione processi ancillari e regole firewall che possono essere usati per arricchimento.

Script di Test di Regressione

# -------------------------------------------------
#  Simulazione di Controllo VNC Furtivo – PowerShell
# -------------------------------------------------
# 1. Prepara directory nascosta
$targetDir = "$env:ProgramDataintel-GPU"
if (-Not (Test-Path $targetDir)) {
    New-Item -Path $targetDir -ItemType Directory -Force | Out-Null
    # Nascondi la cartella (opzionale)
    attrib +h $targetDir
}

# 2. Rilascia file GPU falsi (questi sono segnaposti innocui per la demo)
$files = @("gpu.txt","gpu.exe","gpu.cmd","UltraVNC.ini","IDD.txt")
foreach ($f in $files) {
    $path = Join-Path $targetDir $f
    Set-Content -Path $path -Value "Placeholder for $f" -Encoding ASCII -Force
}

# 3. Scrivi un UltraVNC.ini minimo (la configurazione reale sarebbe più estesa)
@"
[VNC]
Password=redteam
"@ | Set-Content -Path (Join-Path $targetDir "UltraVNC.ini") -Encoding ASCII -Force

# 4. Crea uno script batch che aggiunge una regola firewall e registra il servizio
$batchPath = Join-Path $targetDir "gpu.cmd"
@"
@echo off
rem Aggiungi regola firewall per VNC (porta 5900)
netsh advfirewall firewall add rule name=`"UltraVNC`" dir=in action=allow protocol=TCP localport=5900
rem Registra servizio UltraVNC (usando l'exe rinominato)
sc create UltraVNC binPath= `""$targetDirgpu.exe`"" start= auto
"@ | Set-Content -Path $batchPath -Encoding ASCII -Force

# 5. Esegui lo script batch tramite cmd.exe (proxy binario firmato)
Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batchPath`"" -WindowStyle Hidden -Wait

Write-Host "Simulazione VNC furtiva completata."

Comandi di Pulizia

# -------------------------------------------------
#  Pulisce Artifacts VNC Furtivi
# -------------------------------------------------
$targetDir = "$env:ProgramDataintel-GPU"

# Rimuovi regola firewall
netsh advfirewall firewall delete rule name="UltraVNC" > $null 2>&1

# Elimina il servizio
sc stop UltraVNC > $null 2>&1
sc delete UltraVNC > $null 2>&1

# Rimuovi la directory e tutti i file
if (Test-Path $targetDir) {
    Remove-Item -Path $targetDir -Recurse -Force
}

Write-Host "Pulizia completata."