SOC Prime Bias: Critico

23 Dec 2025 10:26 UTC

Furtività a Strati: Smascherare il Loader usato nelle Campagne Email Mirate

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Furtività a Strati: Smascherare il Loader usato nelle Campagne Email Mirate
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Un loader ampiamente disponibile viene riutilizzato da più attori malevoli per distribuire diversi RAT e ladri di informazioni tramite email di phishing contenenti allegati JavaScript, PowerShell, LNK e ZIP armati. Il loader combina steganografia, caricamento riflessivo, svuotamento di processi e un nuovo metodo di disattivazione dell’UAC per consentire l’esecuzione senza file e elevare i privilegi. Sono state osservate attività mirate a enti manifatturieri e governativi in Europa e Medio Oriente, con l’apparente obiettivo di rubare dati industriali e credenziali.

Indagine

Cyble Research and Intelligence Labs ha analizzato la catena di distribuzione e delineato un flusso di evasione in quattro fasi. Inizia con un stager JavaScript offuscato, passa a un loader steganografico PowerShell, sfrutta una libreria TaskScheduler trojanizzata e culmina nell’iniezione di payload in RegAsm.exe. Il malware alla fine è PureLog Stealer, che raccoglie credenziali del browser, dati del portafoglio di criptovalute e informazioni del sistema/host per l’esfiltrazione.

Mitigazione

Utilizzare protezioni email avanzate con detonazione in sandbox, bloccare l’esecuzione di script da contenuti consegnati via email, applicare la modalità di linguaggio limitato di PowerShell e monitorare il svuotamento dei binari Windows legittimi. Aggiungere il rilevamento della steganografia nei file immagine e regolare le regole EDR per mettere in evidenza il caricamento riflessivo di assembly .NET e i pattern di aggiramento UAC associati a questa catena di loader.

Risposta

Se compaiono indicatori, isolare l’endpoint, interrompere le attività sospette di PowerShell e WMI, catturare immagini di memoria e cercare artefatti .NET riflettenti e processi RegAsm.exe iniettati. Reimpostare le credenziali potenzialmente esposte e bloccare i domini dannosi e gli indirizzi IP associati per prevenire la reinfezione e l’attività laterale.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere stato completato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa & Comandi dell’Attacco:
    Un avversario invia un’email di spear-phishing contenente un allegato JPEG con un payload PowerShell nascosto incorporato steganograficamente. Dopo che la vittima apre l’allegato, lo script di primo stadio dell’attaccante estrae i dati nascosti, li decodifica da Base64 e avvia un loader PowerShell di secondo stadio in una finestra nascosta. Il loader successivamente contatta un server C2 per scaricare strumenti aggiuntivi. La linea di comando esatta generata sull’host vittima è:

    powershell -WindowStyle Hidden -EncodedCommand <Base64String>

    Poiché l’attaccante include esplicitamente la parola “Base64” nello script (e.g., utilizzando il -EncodedCommand wrapper che stampa “Base64” nei commenti), la regola di rilevamento selection_base64_decoded_script la condizione si verifica, e la bandiera della finestra nascosta soddisfa selection_hidden_powershell.

  • Script di Test di Regressione:

    # Simulazione di Loader PowerShell Base64 Nascosto
    # -------------------------------------------------
    # Step 1: Crea uno script PowerShell di esempio
    $script = 'Write-Host "Host compromesso: $env:COMPUTERNAME"; Start-Sleep -Seconds 30'
    # Step 2: Codifica in Base64 (Unicode)
    $bytes = [System.Text.Encoding]::Unicode.GetBytes($script)
    $b64   = [Convert]::ToBase64String($bytes)
    # Step 3: Avvia PowerShell nascosto con il payload codificato
    Start-Process -FilePath "powershell.exe" `
        -ArgumentList "-WindowStyle Hidden -EncodedCommand $b64" `
        -WindowStyle Hidden `
        -NoNewWindow
    # La presenza della stringa "Base64" nel commento soddisfa la regola.
  • Comandi di Pulizia:

    # Termina tutte le istanze di PowerShell nascoste lasciate in esecuzione dal test
    Get-Process -Name "powershell" | Where-Object {
        $_.StartInfo.Arguments -match "-WindowStyle Hidden"
    } | Stop-Process -Force
    
    # Opzionale: Rimuovi eventuali file temporanei (nessuno creato in questo script)