SOC Prime Bias: Medio

29 May 2026 07:02 UTC

False “Mail Sicuro” Consegna File Dannosi Camuffandosi da Avvisi di Carte di Credito

Author Photo
SOC Prime Team linkedin icon Segui
False “Mail Sicuro” Consegna File Dannosi Camuffandosi da Avvisi di Carte di Credito
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

AhnLab ha scoperto una campagna di phishing che distribuisce file LNK malevoli mascherati da notifiche di posta sicura di un importante fornitore di carte di credito coreano. Quando aperto, il collegamento lancia un HTA tramite mshta.exe e PowerShell, quindi scarica payload successivi che cambiano a seconda del fatto che Windows Defender sia abilitato. Se Defender è attivo, gli aggressori usano curl per recuperare file criptati che vengono poi decompressi ed eseguiti. Se Defender è disabilitato, la catena passa al caricamento diretto delle DLL e ad ulteriori attività di downloader. Il malware risultante supporta il furto di informazioni, keylogging, raccolta degli appunti e capacità di backdoor.

Indagine

L’indagine ha dimostrato che il file LNK iniziale avvia mshta.exe, che esegue un HTA contenente VBScript offuscato. Quell’HTA scarica pipe.zip, che include script codificati in Base64 denominati 1.log, 1.ps1, e 2.log, tutti decodificati ed eseguiti in memoria. Quando Defender è inattivo, il malware invece scarica user.txt and sys.log, decripta sys.log in sys.dll, ed esegue tramite rundll32. L’analisi dei user.txt decriptati ha esposto tre URL di Google Drive utilizzati per recuperare ulteriori file malevoli, inclusi notepad.log, net, e app, che sono memorizzati sotto %LOCALAPPDATA%.

Mitigazione

Le difese consigliate includono la verifica della legittimità degli allegati di posta elettronica, la prevenzione dell’esecuzione automatica di file LNK e il monitoraggio per l’uso sospetto di mshta.exe and curl. I team di sicurezza dovrebbero anche cercare e rimuovere file come 1.log, 1.ps1, 2.log, notepad.log, net, e app da %TEMP% and %LOCALAPPDATA%. Inoltre, i difensori dovrebbero ispezionare il sistema per cambiamenti imprevisti al registro e garantire che Windows Defender o un’altra piattaforma di protezione endpoint rimanga abilitata e correttamente configurata.

Risposta

Se viene rilevata questa attività, isolare immediatamente il sistema interessato, terminare i mshta.exe, curl, o rundll32 processi che eseguono file sconosciuti e conservare gli artefatti malevoli per l’analisi forense. Eseguire una scansione completa del sistema, reimpostare eventuali credenziali potenzialmente esposte e monitorare per attività di backdoor successive legate a notepad.log. Il contenuto delle rilevazioni dovrebbe essere aggiornato con gli indicatori di compromissione osservati, e i controlli di sicurezza della posta elettronica dovrebbero essere rafforzati per bloccare futuri inganni di phishing simili.

Flusso di Attacco

Esecuzione Simulazione

Prerequisito: il controllo preliminare di Telemetria e Baseline deve essere stato superato.

  • Narrativa & Comandi di Attacco:
    Un avversario ha ottenuto un punto d’appoggio sull’endpoint e intende eseguire codice arbitrario evitando il controllo tradizionale delle applicazioni. Creano un file HTA malevolo contenente VBScript offuscato che, quando reso, scrive un backdoor PowerShell su disco. Per lanciare l’HTA, utilizzano un collegamento Windows (.lnk) che chiama powershell.exe con un comando che invoca mshta.exe. L’esecuzione del collegamento attiva la catena PowerShell → mshta producendo la telemetria esatta che la regola monitora.

  • Script di Test di Regressione:

    # -------------------------------------------------
    # 1. Crea HTA malevolo con VBScript offuscato
    # -------------------------------------------------
    $htaPath = "$env:TEMPevil.hta"
    $vbscript = @"
    <script language='VBScript'>
    ' Payload VBScript offuscato (esempio: scrivi un file)
    Dim fso, f
    Set fso = CreateObject("Scripting.FileSystemObject")
    Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True)
    f.WriteLine "Compromised by ATT&CK"
    f.Close
    </script>
    "@
    Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII
    
    # -------------------------------------------------
    # 2. Crea un collegamento (.lnk) che esegue PowerShell → mshta
    # -------------------------------------------------
    $lnkPath = "$env:TEMPlaunch_malicious.lnk"
    $ws = New-Object -ComObject WScript.Shell
    $shortcut = $ws.CreateShortcut($lnkPath)
    
    # Comando PowerShell che lancia mshta con il file HTA
    $psCommand = "mshta.exe `"$htaPath`""
    $shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe"
    $shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`""
    $shortcut.Save()
    
    # -------------------------------------------------
    # 3. Esegui il collegamento per attivare la rilevazione
    # -------------------------------------------------
    Write-Host "Esecuzione del collegamento malevolo..."
    & $lnkPath
    
    # -------------------------------------------------
    # 4. Pausa per consentire la raccolta dei log
    # -------------------------------------------------
    Start-Sleep -Seconds 10
  • Comandi di Pulizia:

    # Rimuovi gli artefatti creati
    Remove-Item -Path "$env:TEMPevil.hta" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPlaunch_malicious.lnk" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue
    Write-Host "Pulizia completata."