Un download falso di Slack offre agli attaccanti un desktop nascosto sul tuo computer
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un programma di installazione malevolo camuffato da Slack viene distribuito tramite domini di typosquatting per ingannare utenti ignari. Una volta eseguito, installa un’applicazione Slack legittima insieme a un caricatore nascosto che si connette a un server di comando e controllo, recupera un payload HVNC crittografato e lo inietta in explorer.exe. Il malware crea quindi una sessione desktop invisibile che consente agli attaccanti di navigare, interagire ed eseguire azioni sulla macchina compromessa senza che la vittima se ne accorga. Questo approccio è particolarmente pericoloso in ambienti in cui il marchio Slack è ampiamente affidato sia da singoli che da utenti aziendali.
Indagine
I ricercatori hanno disimballato l’installatore e hanno scoperto due file temporanei: slack.tmp, che conteneva un pacchetto di aggiornamento Squirrel legittimo, e svc.tmp, che fungeva da caricatore malevolo. L’analisi ha mostrato che il caricatore ha stabilito la persistenza tramite una chiave di registro Run, ha risolto dinamicamente le API di Windows durante l’esecuzione, ha scaricato una DLL crittografata, l’ha salvata come wmiprvse_*.tmp, e ha utilizzato un’iniezione basata su sezioni per caricarla in explorer.exe. Gli investigatori hanno anche osservato comunicazioni in uscita con un server di comando e controllo sulla porta TCP 8081. Era presente anche logica anti-analisi, inclusa la rilevazione di debugger e controlli di tempistica delle sandbox.
Mitigazione
Gli utenti dovrebbero scaricare Slack solo dal sito slack.com ufficiale o da link salvati di fiducia e verificare le firme digitali prima di eseguire qualsiasi installatore. Le organizzazioni dovrebbero abilitare protezioni in tempo reale capaci di bloccare domini malevoli noti ed eseguibili sospetti. I difensori dovrebbero inoltre monitorare traffico in uscita inaspettato sulla porta 8081, voci di registro Run non familiari, e processi figli anomali associati ad applicazioni fidate. Le rilevazioni basate sul comportamento possono aiutare a identificare sessioni desktop nascoste e attività correlate a HVNC prima che gli attaccanti ottengano pieno accesso interattivo.
Risposta
Se viene rilevata questa attività, isolare immediatamente l’endpoint interessato dalla rete, terminare il caricatore malevolo e qualsiasi processo correlato a HVNC, e rimuovere il meccanismo di persistenza dalla chiave di registro Run. Deve essere eseguita una scansione malware completa, e tutti i domini e gli indirizzi IP malevoli collegati devono essere bloccati nell’ambiente. Qualsiasi credenziale usata sulla macchina compromessa deve essere reimpostata da un dispositivo pulito, e il team di sicurezza deve raccogliere artefatti forensi per supportare ulteriori indagini e delimitazioni.
Flusso de Attacco
Rilevamenti
Possibile che sia stato creato uno Stream di Dati Alternativo (ADS) (via file_event)
Visualizza
Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizza
IOC (HashSha256) da rilevare: Un download falso di Slack sta fornendo agli attaccanti un desktop nascosto sulla tua macchina
Visualizza
IOC (SourceIP) da rilevare: Un download falso di Slack sta fornendo agli attaccanti un desktop nascosto sulla tua macchina
Visualizza
IOC (DestinationIP) da rilevare: Un download falso di Slack sta fornendo agli attaccanti un desktop nascosto sulla tua macchina
Visualizza
Rilevazione di Iniezione Basata su Sezioni in Explorer.exe [Windows Sysmon]
Visualizza
Installatore Falso di Slack che Crea una Sessione Desktop Nascosta [Creazione di Processi Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Prevolo della Telemetria & Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrativa dell’Attacco & Comandi:
- Accesso Iniziale – L’attaccante consegna un installatore trojanizzato denominato
slack-4-49-81.exetramite un’email di phishing. - Esecuzione – La vittima esegue il file; esso estrae un caricatore nascosto
svc.tmpto%TEMP%. - Creazione di Desktop Nascosto (T1564.003) –
svc.tmpinvocaCreateProcessconSW_HIDE, avviando una sessione desktop nascosta che ospita uno strumento di accesso remoto. - Persistenza (T1547.013 & T1546.016) – Il caricatore registra un server COM che viene avviato automaticamente tramite un collegamento piazzato nella cartella Esecuzione Automatica, garantendo l’esecuzione al riavvio.
- Installazione Potenziale di un Rootkit (T1014) – Se elevato,
svc.tmpdeposita un driver rootkit in%SystemRoot%System32driversmaldrv.sys.
- Accesso Iniziale – L’attaccante consegna un installatore trojanizzato denominato
-
Script di Test di Regressione: Lo script riproduce i passaggi 2–4 con binari innocui (copie di
notepad.exe) preservando gli esatti nomi di file che la regola monitora.# ------------------------------------------------- # Test di Regressione – Simulazione di Installatore Falso di Slack # ------------------------------------------------- # 1. Preparare i binari falsi (utilizzare benigno notepad.exe) $temp = $env:TEMP $installer = Join-Path $temp "slack-4-49-81.exe" $loader = Join-Path $temp "svc.tmp" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force # 2. Eseguire l'installatore – questo attiverà la regola di rilevamento Write-Host "[*] Avviando l'installatore falso ..." Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null # 3. Simulare la creazione del desktop nascosto (caricatore) Write-Host "[*] Avviando il caricatore nascosto ..." Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null # 4. Creare un collegamento nella cartella Esecuzione Automatica per emulare la persistenza $startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup" $shortcutPath = Join-Path $startup "Slack Hidden.lnk" $shell = New-Object -ComObject WScript.Shell $shortcut = $shell.CreateShortcut($shortcutPath) $shortcut.TargetPath = $loader $shortcut.WindowStyle = 7 # Hidden $shortcut.Save() Write-Host "[+] Simulazione completata. Controlla SIEM per eventi con Immagine che termina in 'slack-4-49-81.exe' o 'svc.tmp'." -
Comandi di Pulizia: Rimuovere gli artefatti di test e qualsiasi collegamento creato.
# Script di pulizia – eseguire con lo stesso contesto dell'utente $temp = $env:TEMP Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue $shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk" Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue Write-Host "[+] Pulizia completata."