Hacker attaccano istituti finanziari con un clone di Minesweeper

Alcuni hacker utilizzano codice di un clone Python del gioco Minesweeper (Campo minato o Prato Fiorito) di Microsoft per nascondere script dannosi negli attacchi alle organizzazioni finanziarie europee e statunitensi. Il CSIRT-NBU e il CERT-UA ucraini attribuiscono gli attacchi a un autore di minacce identificato come "UAC-0188". Quest’ultimo sta utilizzando il codice legittimo per nascondere gli script Python che scaricano e installano SuperOps RMM. Quest’ultimo è un software di gestione remota legittimo che offre agli attori remoti l'accesso diretto ai sistemi compromessi. Il CERT-UA riferisce che la ricerca successiva alla scoperta iniziale di questo attacco ha rivelato almeno cinque potenziali violazioni da parte degli stessi file negli istituti finanziari e assicurativi in tutta Europa e negli Stati Uniti.

Minesweeper: come avviene l’attacco hacker

L'attacco di phishing inizia con un'e-mail inviata dall'indirizzo "support@patient-docs-mail.com", spacciandosi per un centro medico con oggetto "Archivio web personale di documenti medici". Al destinatario viene richiesto di scaricare un file .SCR da 33 MB. Il file contiene codice innocuo proveniente da un clone Python di Minesweeper. Inoltre, viene fornito codice Python dannoso che scarica script aggiuntivi da una fonte remota. L'inclusione del codice Minesweeper all'interno dell'eseguibile funge da copertura per la stringa con codifica Base64 da 28 MB, contenente il codice dannoso. Inoltre, il codice Minesweeper contiene una funzione denominata "create_license_ver" che viene riproposta per decodificare ed eseguire il codice dannoso nascosto. In seguito, vengono utilizzati componenti software legittimi per mascherare e facilitare l'attacco informatico. La stringa base64 viene decodificata per assemblare un file ZIP che contiene un programma di installazione MSI per SuperOps RMM. Questo viene infine estratto ed eseguito utilizzando una password statica.

SuperOps RMM è uno strumento legittimo di accesso remoto. Tuttavia, in questo caso viene utilizzato per garantire agli aggressori l'accesso non autorizzato al computer della vittima. CERT-UA rileva che le organizzazioni che non utilizzano il prodotto SuperOps RMM dovrebbero considerare la sua presenza o l'attività di rete correlata, come le chiamate ai domini "superops.com" o "superops.ai", come un segno di compromissione da parte degli hacker. L'agenzia ha inoltre condiviso nel proprio report ulteriori indicatori di compromissione (IoC) associati a questo attacco.