Un nuovo attacco informatico ha visto l'utilizzo di un malware basato su Python per mantenere l'accesso persistente ai dispositivi compromessi e successivamente distribuire il ransomware RansomHub all'interno della rete bersaglio. Secondo GuidePoint Security, l'accesso iniziale è stato facilitato da un malware JavaScript chiamato SocGholish, noto per essere distribuito attraverso campagne drive-by che spingono gli utenti a scaricare falsi aggiornamenti del browser.

Questi attacchi spesso coinvolgono siti web legittimi ma infettati, a cui le vittime vengono reindirizzate dai risultati dei motori di ricerca mediante tecniche di ottimizzazione dei motori di ricerca (SEO) black hat. Una volta eseguito, SocGholish si connette a un server controllato dagli attaccanti per recuperare payload secondari. Recentemente, le campagne di SocGholish hanno preso di mira siti WordPress che utilizzano versioni obsolete di plugin SEO popolari come Yoast e Rank Math PRO.

Nel caso analizzato da GuidePoint Security, il malware basato su Python è stato installato circa 20 minuti dopo l'infezione iniziale tramite SocGholish. L'attore malevolo ha poi utilizzato il backdoor per muoversi lateralmente nella rete compromessa attraverso sessioni RDP. Funzionalmente, lo script funge da proxy inverso che si connette a un indirizzo IP codificato, stabilendo un tunnel basato sul protocollo SOCKS5, che consente agli attaccanti di muoversi lateralmente nella rete usando il sistema vittima come proxy.

Lo script Python, una versione iniziale del quale è stata documentata da ReliaQuest, è stato rilevato in natura sin da dicembre 2023, con modifiche volte a migliorare i metodi di offuscamento per evitare il rilevamento. GuidePoint ha anche osservato che lo script decodificato è ben strutturato, suggerendo che l'autore del malware sia meticoloso nel mantenere un codice Python altamente leggibile e testabile, o che utilizzi strumenti di intelligenza artificiale per aiutare nella codifica.

Oltre al backdoor basato su Python, altri strumenti utilizzati prima del dispiegamento del ransomware includono soluzioni per disabilitare i sistemi di rilevamento e risposta degli endpoint, rubare credenziali e compromettere account email tramite attacchi di forza bruta. Le campagne di ransomware hanno anche preso di mira i bucket Amazon S3 utilizzando la crittografia lato server con chiavi fornite dal cliente per crittografare i dati delle vittime, attribuendo l'attività a un attore chiamato Codefinger.

Inoltre, SlashNext ha rilevato un aumento delle campagne di phishing "rapid-fire" che imitano la tecnica di email bombing della crew di ransomware Black Basta, inondando le caselle di posta delle vittime con oltre 1.100 messaggi legittimi. Gli attaccanti approfittano della situazione per contattare le vittime tramite telefonate o messaggi su Microsoft Teams, fingendosi supporto tecnico aziendale e inducendo gli utenti a installare software di accesso remoto, aprendo così la strada a ulteriori intrusioni.