Malware: SilentBreak nei registri eventi di Windows

Il team di Kaspersky ha da poco fatto una nuova e decisamente poco rassicurante scoperta: esiste un malware, che è stato denominato SilentBreak, il quale può essere nascosto nei registri degli eventi di Windows dai malintenzionati, con l’obiettivo di raccogliere informazioni sensibili sul computer della vittima.

Malware SilentBreak: ecco come agisce

Allo stato attuale delle cose, sono già stati sferrati numerosi attacchi utilizzando i tool più disparati, compresi quelli di natura commerciale. Considerando che la catena di infezione risulta essere assai complessa, è ben evidente il fatto che la campagna vada oltre il cercare di colpire i “semplici” utenti.

Andando più in dettaglio, la prima fase dell’attacco prevede la distribuzione del modulo Cobal Strike tramite un file RAR caricato su file.io. Successivamente, viene iniettato il codice infetto nei processi del sistema operativo e viene copiato il gestore degli errori WerFault.exe in C:\Windows\Tasks e il file wer.dll (Windows Error Reporting) nella stessa directory per sfruttare la tecnica nota come DLL Hijacking.

Viene altresì generata una chiave di registro per l’esecuzione all’avvio di Windows e scritto uno shellcode nel registro degli eventi per Key Management Services (KMS). Il codice in questione, eseguito dal launcher wer.dll, avvia a sua volta un trojan che rappresenta lo stadio finale di tutto l'attacco.

Da notare che i dati raccolti con il malware sono inviati a server command and control in maniera cifrata. Inoltre, essendo la prima volta che viene sfruttata la tecnica descritta poc'anzi, gli esperti di Kaspersky non sono in grado attribuire gli attacchi a gruppi di cybercriminali noti.