Software Converter Gratuito – Converti Qualsiasi Sistema da Pulito a Infetto in Secondi
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Campagne di malvertising su siti legittimi stanno promuovendo falsi “convertitori” che sembrano innocui ma installano malware di accesso remoto persistente in background. Una volta eseguito, l’installer tipicamente rilascia componenti di backdoor in %LocalAppData% e crea attività pianificate che avviano ripetutamente il payload, garantendo che l’attaccante mantenga l’accesso durante i riavvii. L’operazione si basa su un set rotativo di domini simili, binari firmati (ma malevoli), e un semplice workflow di comando e controllo basato su HTTP. I difensori possono dare priorità alla rilevazione sulla creazione anomala di attività pianificate, esecuzioni sospette da percorsi scrivibili dagli utenti, e traffico in uscita verso l’infrastruttura C2 identificata.
Indagine
I ricercatori hanno ricostruito il percorso di infezione dagli annunci Google malevoli a pagine di atterraggio ospitate su domini falsificati come pokemoninfinitefusion.net, convertyfileapp.com, e conmateapp.com, che alla fine consegnano i payload finali. I binari distribuiti sono eseguibili .NET firmati con certificati rubati e stabiliscono persistenza creando un’attività pianificata che esegue UpdateRetriever.exe da %LocalAppData%. La telemetria ha mostrato che il malware contattava periodicamente confetly.com per recuperare aggiornamenti o istruzioni. Gli analisti hanno anche convalidato artefatti associati del file-system e della configurazione, inclusi un marcatore id.txt e le definizioni delle attività pianificate utilizzate per mantenere attiva la backdoor.
Mitigazione
Abilita e operazionalizza il logging per la creazione di attività pianificate (ID Evento Sicurezza 4698) e la telemetria di modifica del registro (ad esempio, ID Evento Sysmon 13). Riduci il rischio di esecuzione bloccando o controllando rigorosamente i lanci di processi da %LocalAppData% utilizzando AppLocker o WDAC, e avvisa sulle attività pianificate che puntano a directory scrivibili dall’utente. Tratta i certificati di firma del codice sospetti o recentemente osservati come ad alto rischio—revoca o blocca dove possibile—e aggiungi controlli di dominio per l’infrastruttura malevola nota. A livello di rete, distribuisci rilevazioni per attività HTTP in uscita a confetly.com e schemi di URL correlati, e considera di prevenire il traffico diretto a Internet dalle workstation degli utenti quando possibile.
Risposta
Quando viene rilevata un’attività pianificata sospetta—o quando vengono osservati eseguibili che girano da %LocalAppData%—isola l’endpoint e conserva le prove (XML dell’attività, binari rilasciati e log proxy/DNS rilevanti). Blocca immediatamente confetly.com e qualsiasi infrastruttura correlata per interrompere il comando e controllo. Rimuovi l’attività pianificata malevola, eradica gli artefatti del payload, e esegui una completa bonifica dell’endpoint per confermare che non rimanga persistenza secondaria. Infine, conduci una ricerca su tutta l’azienda per gli stessi indicatori (nomi/percorso delle attività, UpdateRetriever.exe, id.txt, e i domini elencati) per individuare altri sistemi impattati.
Flusso d’Attacco
Rilevamenti
Possibile Attività di Evasione della Difesa tramite Uso Sospetto di Wevtutil (tramite cmdline)
Visualizza
Attività Pianificata Sospetta (tramite verifica)
Visualizza
Attività Pianificata tramite Oggetto COM (tramite powershell)
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 7
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 5
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 6
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 4
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 1
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 3
Visualizza
IOC (HashSha256) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 2
Visualizza
IOC (HashSha1) per rilevare: Free Converter Software – Convert Any System from Clean to Infected in Seconds
Visualizza
Modifica Registro Attività Pianificata per la Persistenza del Malware [Evento Registro di Windows]
Visualizza
Rileva Creazione di Attività Pianificata per la Persistenza del Malware [Registro Eventi di Sicurezza di Microsoft Windows]
Visualizza
Rileva Creazione di Payload Malevolo ConvertMate e File UUID [Evento File di Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Baseline & Telemetria Pre-volo deve essere passato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa d’Attacco & Comandi:
Un attaccante che ha già ottenuto l’accesso locale al sistema desidera mantenere la persistenza attraverso i riavvii. Decide di abusare del backend del registro del Task Scheduler di Windows perché è un metodo ‘living-off-the-land’ che evita di creare nuovi file eseguibili. Utilizzandoreg.exe, aggiungono una nuova definizione di attività direttamente sottoTaskCacheTaskshive, puntando a un payload malevolo situato in%LocalAppData%. Questa scrittura genera un Evento Sysmon 13 con unPercorsoRegistroche corrisponde al selettore della regola, causando l’attivazione dell’allerta. -
Script di Test di Regressione:
# ------------------------------------------------------------------------- # Script PowerShell per simulare T1547.014 / T1574.014 – persistenza tramite Attività Pianificata # ------------------------------------------------------------------------- # Variabili $taskGuid = [guid]::NewGuid().ToString("B").ToUpper() # es. {A1B2C3D4-...} $payload = "$env:LOCALAPPDATAmalwareevil.exe" $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" # Assicurati che la directory del payload esista (simulato) New-Item -Path (Split-Path $payload) -ItemType Directory -Force | Out-Null # (In un attacco reale, il binario malevolo verrebbe rilasciato qui) # Crea la chiave di registro per l'attività pianificata New-Item -Path $regPath -Force | Out-Null # Popola i valori minimi richiesti (XML dell'Attività sarebbe molto più grande; lo manteniamo semplice) New-ItemProperty -Path $regPath -Name "Path" -Value $payload -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "Id" -Value $taskGuid -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "SecurityDescriptor" -Value "O:BAG:SYD:(A;;FA;;;SY)(A;;FA;;;BA)" -PropertyType String -Force | Out-Null Write-Host "[+] Attività del registro scritta in $regPath – la regola di rilevamento dovrebbe attivarsi." -
Comandi di Pulizia:
# Rimuovi la voce del registro dell'attività pianificata malevola $taskGuid = (Get-ItemProperty -Path "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks*").Id $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" Remove-Item -Path $regPath -Recurse -Force # Rimuovere eventualmente il payload fittizio Remove-Item -Path "$env:LOCALAPPDATAmalware" -Recurse -Force Write-Host "[+] Pulizia completata."