Gorgon torna all’attacco con una nuova campagna di spear phishing
Roma – Il temibile gruppo hacker Gorgon è tornato alla ribalta negli ultimi giorni con una nuova importante campagna di spear phishing con malware mascherati da fatture commerciali.
A lanciare l’allarme sono stati gli esperti informatici di Cert-Pa, dopo che l’Apt, scoperta nel 2018 e celebre per gli attacchi ad istituzioni e aziende in tutto il mondo, ha riproposto l’invio di e-mail con allegato un file Excel. Nel file si trova una macro Vba, che si attiva all’apertura del documento avviando la catena di infezione. Il messaggio di spear-phishing, di recente rilevato dai ricercatori di Heimdal Security, riporta come oggetto la presunta fattura: «Re: Invoice_74521451» e l’allegato è «Invoice_74521451.xls» (il file xls sarebbe rilevabile solo da pochi antivirus per ora). Secondo gli analisti informatici questa volta Gorgon ha reso più difficile l’identificazione del cyber attacco, grazie a un trucco, ovvero condividendo come Pastebin per il download del payload. L’Apt a sua volta si collega a pagine appositamente create sull’applicazione web per scaricare un codice Javascript / Vba, opportunamente offuscato, eseguendo alcuni comandi da shell. Tutto il traffico rilevato nel caso analizzato è stato quindi reindirizzato su altri indirizzi Pastebin. Tre le tecniche di offuscamento degli script rilevate dai tecnici: StrReverse, split variables e multiple Wscript objects. Infine il payload utilizza la funzione LoadWithPartialName tramite una reflection assembly nel framework NET per scaricare ed elaborare i dati grezzi in memoria.