Exploit in funzione di Windows: diffuso infostealer in tutto il mondo

Il famigerato gruppo di hacker russi, conosciuto come APT28, sta abusando di una funzione di Windows per diffondere infostealer e altri agenti malevoli in tutto il mondo.

A scoprire il modus operandi dei cybercriminali sono stati gli esperti del team X-Force di IBM. A quanto pare, gli hacker si fingono organizzazioni governative e ONG, inviando e-mail contenenti PDF, con tanto di link verso siti Web compromessi.

Questi, a loro volta, abusano del gestore del protocollo URI search-ms: oltre a search:, con risultati devastanti per la vittima. Di fatto, i cybercrimiali possono avviare una procedura che li porta a poter effettuare ricerche sui dispositivi delle vittime, andando a “simulare” l’app di ricerca di Windows.

La campagna, a quanto pare, sarebbe stata attiva dallo scorso febbraio fino a febbraio 2024, interessato vari territori, dall’Europa a Nord e Sud America, così come l’Asia centrale.

APT28 e l’exploit della funzione Windows: preoccupazione per tre malware

Secondo gli esperti che hanno individuato gli infostealer, i malware veri e propri sarebbero ospitato su un server WebDAV che, molto probabilmente, sta sfruttando router Ubiquiti compromessi.

Gli agenti malevoli sono nomi ben noti agli esperti di cybersecurity. Stiamo parlando di Masepie, OceanMap e Steelhook. Si tratta di malware progettati per l’esfiltrazione dei file e per l’esecuzione di comandi arbitrari, oltre che per rubare dati dal browser delle vittime.

Il collettivo APT28 è un nome ben noto nell’ambiente, visto numero ed efficacia degli attacchi. Lo scorso dicembre, per esempio, gli hacker russi hanno organizzato una campagna che aveva come obiettivo Outlook, andando a dare uno sguardo a diverse e-mail ricevute dagli utenti.

Tra gli obiettivi dei criminali informatici, il nome di Windows è alquanto ricorrente. Già diversi anni fa, infatti, gli hacker avevano preso di mira laptop che utilizzavano il sistema operativo di Microsoft.