Software Converter Gratuito – Converti Qualsiasi Sistema da Pulito a Infetto in Secondi
Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Campagne di malvertising su siti legittimi stanno promuovendo falsi “convertitori” che sembrano innocui ma installano malware di accesso remoto persistente in background. Una volta eseguito, l’installer tipicamente rilascia componenti di backdoor in %LocalAppData% e crea attività pianificate che avviano ripetutamente il payload, garantendo che l’attaccante mantenga l’accesso durante i riavvii. L’operazione si basa su un set rotativo di domini simili, binari firmati (ma malevoli), e un semplice workflow di comando e controllo basato su HTTP. I difensori possono dare priorità alla rilevazione sulla creazione anomala di attività pianificate, esecuzioni sospette da percorsi scrivibili dagli utenti, e traffico in uscita verso l’infrastruttura C2 identificata.
Indagine
I ricercatori hanno ricostruito il percorso di infezione dagli annunci Google malevoli a pagine di atterraggio ospitate su domini falsificati come pokemoninfinitefusion.net, convertyfileapp.com, e conmateapp.com, che alla fine consegnano i payload finali. I binari distribuiti sono eseguibili .NET firmati con certificati rubati e stabiliscono persistenza creando un’attività pianificata che esegue UpdateRetriever.exe da %LocalAppData%. La telemetria ha mostrato che il malware contattava periodicamente confetly.com per recuperare aggiornamenti o istruzioni. Gli analisti hanno anche convalidato artefatti associati del file-system e della configurazione, inclusi un marcatore id.txt e le definizioni delle attività pianificate utilizzate per mantenere attiva la backdoor.
Mitigazione
Abilita e operazionalizza il logging per la creazione di attività pianificate (ID Evento Sicurezza 4698) e la telemetria di modifica del registro (ad esempio, ID Evento Sysmon 13). Riduci il rischio di esecuzione bloccando o controllando rigorosamente i lanci di processi da %LocalAppData% utilizzando AppLocker o WDAC, e avvisa sulle attività pianificate che puntano a directory scrivibili dall’utente. Tratta i certificati di firma del codice sospetti o recentemente osservati come ad alto rischio—revoca o blocca dove possibile—e aggiungi controlli di dominio per l’infrastruttura malevola nota. A livello di rete, distribuisci rilevazioni per attività HTTP in uscita a confetly.com e schemi di URL correlati, e considera di prevenire il traffico diretto a Internet dalle workstation degli utenti quando possibile.
Risposta
Quando viene rilevata un’attività pianificata sospetta—o quando vengono osservati eseguibili che girano da %LocalAppData%—isola l’endpoint e conserva le prove (XML dell’attività, binari rilasciati e log proxy/DNS rilevanti). Blocca immediatamente confetly.com e qualsiasi infrastruttura correlata per interrompere il comando e controllo. Rimuovi l’attività pianificata malevola, eradica gli artefatti del payload, e esegui una completa bonifica dell’endpoint per confermare che non rimanga persistenza secondaria. Infine, conduci una ricerca su tutta l’azienda per gli stessi indicatori (nomi/percorso delle attività, UpdateRetriever.exe, id.txt, e i domini elencati) per individuare altri sistemi impattati.
“graph TB %% Class Definitions classDef technique fill:#c2e0ff classDef operator fill:#ffcc66 %% Nodes u2013 Techniques initial_access[“<b>Tecnica</b> – <b>T1659 Pubblicità Malevola</b><br/><b>Descrizione</b>: L’avversario sfrutta annunci online malevoli per consegnare contenuti malevoli alle vittime tramite iniezione di contenuti.”] class initial_access technique user_execution[“<b>Tecnica</b> – <b>T1204 Esecuzione Utente</b><br/><b>Descrizione</b>: La vittima clicca manualmente l’annuncio malevolo ed esegue il payload scaricato.”] class user_execution technique dropper[“<b>Tecnica</b> – <b>T1036.001 Mascheramento: Firma del Codice Non Valida</b><br/><b>Descrizione</b>: Un eseguibile di conversione firmato viene utilizzato per mascherarsi come uno strumento legittimo, sovvertendo i controlli di fiducia.”] class dropper technique subvert_trust[“<b>Tecnica</b> – <b>T1553 Sovvertire i Controlli di Fiducia</b><br/><b>Descrizione</b>: Il binario firmato sconfigge i meccanismi di sicurezza che si basano sulla fiducia nella firma del codice.”] class subvert_trust technique powershell[“<b>Tecnica</b> – <b>T1059.001 PowerShell</b><br/><b>Descrizione</b>: Uno script PowerShell viene eseguito per creare un’attività pianificata per la persistenza.”] class powershell technique scheduled_task[“<b>Tecnica</b> – <b>T1053 Attività Pianificata</b><br/><b>Descrizione</b>: Un’attività pianificata viene creata per eseguire regolarmente l’eseguibile UpdateRetriever.”] class scheduled_task technique persistence[“<b>Tecnica</b> – <b>T1053 Attività Pianificata (Persistenza)</b><br/><b>Descrizione</b>: L’attività pianificata fornisce l’esecuzione a lungo termine dell’aggiornamento malevolo.”] class persistence technique c2_https[“<b>Tecnica</b> – <b>T1071.001 Protocolli Web: Web</b><br/><b>Descrizione</b>: Il traffico di comando e controllo viene inviato su HTTPS utilizzando protocolli web standard.”] class c2_https technique compression[“<b>Tecnica</b> – <b>T1027.015 Archivio tramite Utility</b><br/><b>Descrizione</b>: I payload sono memorizzati all’interno di archivi ZIP per evitare rilevamenti.”] class compression technique %% Operator Node (AND logic) op_and((“AND”)) class op_and operator %% Connections u2013 Flow initial_access u002du002d>|leads_to| user_execution user_execution u002du002d>|delivers| dropper dropper u002du002d>|uses| subvert_trust dropper u002du002d>|stores_payloads_in| compression dropper u002du002d>|executes| powershell powershell u002du002d>|creates| scheduled_task scheduled_task u002du002d>|enables| persistence persistence u002du002d>|communicates_with| c2_https “
Flusso d’Attacco
Rilevamenti
Possibile Attività di Evasione della Difesa tramite Uso Sospetto di Wevtutil (tramite cmdline)
Visualizza
Attività Pianificata Sospetta (tramite verifica)
Visualizza
Attività Pianificata tramite Oggetto COM (tramite powershell)
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 7
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 5
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 6
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 4
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 1
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 3
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 2
Visualizza
IOC (HashSha1) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds
Visualizza
Modifica Registro Attività Pianificata per la Persistenza del Malware [Evento Registro di Windows]
Visualizza
Rileva Creazione di Attività Pianificata per la Persistenza del Malware [Registro Eventi di Sicurezza di Microsoft Windows]
Visualizza
Rileva Creazione di Payload Malevolo ConvertMate e File UUID [Evento File di Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Baseline & Telemetria Pre-volo deve essere passato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa d’Attacco & Comandi:
Un attaccante che ha già ottenuto l’accesso locale al sistema desidera mantenere la persistenza attraverso i riavvii. Decide di abusare del backend del registro del Task Scheduler di Windows perché è un metodo ‘living-off-the-land’ che evita di creare nuovi file eseguibili. Utilizzandoreg.exe, aggiungono una nuova definizione di attività direttamente sottoTaskCacheTaskshive, puntando a un payload malevolo situato in%LocalAppData%. Questa scrittura genera un Evento Sysmon 13 con unPercorsoRegistroche corrisponde al selettore della regola, causando l’attivazione dell’allerta. -
Script di Test di Regressione:
# ------------------------------------------------------------------------- # Script PowerShell per simulare T1547.014 / T1574.014 – persistenza tramite Attività Pianificata # ------------------------------------------------------------------------- # Variabili $taskGuid = [guid]::NewGuid().ToString("B").ToUpper() # es. {A1B2C3D4-...} $payload = "$env:LOCALAPPDATAmalwareevil.exe" $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" # Assicurati che la directory del payload esista (simulato) New-Item -Path (Split-Path $payload) -ItemType Directory -Force | Out-Null # (In un attacco reale, il binario malevolo verrebbe rilasciato qui) # Crea la chiave di registro per l'attività pianificata New-Item -Path $regPath -Force | Out-Null # Popola i valori minimi richiesti (XML dell'Attività sarebbe molto più grande; lo manteniamo semplice) New-ItemProperty -Path $regPath -Name "Path" -Value $payload -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "Id" -Value $taskGuid -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "SecurityDescriptor" -Value "O:BAG:SYD:(A;;FA;;;SY)(A;;FA;;;BA)" -PropertyType String -Force | Out-Null Write-Host "[+] Attività del registro scritta in $regPath – la regola di rilevamento dovrebbe attivarsi." -
Comandi di Pulizia:
# Rimuovi la voce del registro dell'attività pianificata malevola $taskGuid = (Get-ItemProperty -Path "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks*").Id $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" Remove-Item -Path $regPath -Recurse -Force # Rimuovere eventualmente il payload fittizio Remove-Item -Path "$env:LOCALAPPDATAmalware" -Recurse -Force Write-Host "[+] Pulizia completata."