Istruzioni per Droni sfruttate per distribuire il malware MerlinAgent

La società Securonix Threat Research ha individuato una nuova forma di attacco informatico, denominata STARK#VORTEX che sta destando un misto di curiosità e apprensione tra gli esperti di sicurezza informatica.

La campagna, gestita da un gruppo noto come UAC-0154, sembra prendere di mira in modo specifico l’esercito ucraino, sfruttando come esche dei droni. Questi dispositivi, infatti, svolgono un ruolo molto importante nel conflitto, tanto da attirare l’attenzione dei criminali informatici.

Gli aggressori dietro UAC-0154 inizialmente hanno utilizzato documenti a tema militare inviati via e-mail ad elementi dell’esercito ucraino. Ad oggi, però, le strategie sembrano essersi evolute, includendo nella campagna malevola anche il malware MerlinAgent.

Come vengono sfruttati i droni per portare avanti questa campagna malware?

L’esca utilizzata dai cybercriminali va a simulare file guida di Microsoft, comunemente noto come file .chm. Nello specifico, era intitolato Інфо про навчання по БПЛА для військових.v2.2.chm, che si traduce in “informazioni sull’addestramento UAV per i militari“. Sfruttando tali file, spacciati per una guida all’utilizzo dei droni, gli hacker stanno mietendo diverse vittime tra i soldati ucraini.

Il suddetto tipo di estensione file, nonostante sia in un formato utilizzato nelle precedenti versioni del sistema operativo, possono ancora essere eseguiti in Windows 11.

Quando l’utente apre questo documento, attiva un codice JavaScript dannoso incorporato al suo interno. Il codice JavaScript all’interno del file .chm comunica con un server remoto di comando e controllo (C2) per scaricare un payload binario offuscato.

Questo payload, una volta decodificato, avvia la diffusione del già citato malware MerlinAgent, stabilendo una comunicazione con il server C2 e garantendo il pieno controllo agli aggressori.

Securonix ha proposto diversi consigli per l’utenza, al fine di evitare questo tipo di infezione (e altre simili). In tal senso si parla di evitare il download di file da fonti non attendibili, monitorare directory specifiche per attività sospette, implementare soluzioni di registrazione avanzate per una migliore copertura del rilevamento.