Gli attori malevoli stanno utilizzando tecniche sofisticate per nascondere malware all'interno di immagini, con l'obiettivo di distribuire software dannoso come il VIP Keylogger e 0bj3ctivity Stealer. Queste campagne di attacco si avvalgono di immagini caricate su siti di hosting come archive.org, dove il codice malevolo è nascosto per poi essere estratto e installato sui dispositivi delle vittime.

Il punto di partenza di queste operazioni è un'email di phishing che si presenta come una fattura o un ordine di acquisto, ingannando i destinatari ad aprire allegati dannosi, come documenti Excel che sfruttano una vulnerabilità nota nel componente Equation Editor di Microsoft (CVE-2017-11882). Una volta eseguiti, questi allegati scaricano un file VBScript che decodifica ed esegue un ulteriore script PowerShell.

Questo script PowerShell scarica un'immagine da archive.org, estrae il codice in Base64 nascosto all'interno, lo decodifica trasformandolo in un eseguibile .NET, che viene poi eseguito. Questo eseguibile funge da caricatore per scaricare e avviare VIP Keylogger da un URL specifico, consentendo ai cybercriminali di rubare una vasta gamma di dati dai sistemi infetti, come sequenze di tasti, contenuti degli appunti, screenshot e credenziali.

Una campagna simile invia file d'archivio malevoli via email, con messaggi che fingono di essere richieste di preventivo. Questi messaggi invitano le vittime a eseguire un file JavaScript all'interno dell'archivio, che lancia uno script PowerShell. Anche in questo caso, lo script PowerShell scarica un'immagine da un server remoto, elabora il codice Base64 in essa contenuto, e avvia un caricatore .NET che distribuisce un infostealer chiamato 0bj3ctivity.

Le somiglianze tra queste campagne indicano che gli attori malevoli stanno utilizzando kit malware per aumentare l'efficienza complessiva, riducendo al contempo il tempo e l'expertise tecnico necessari per condurre gli attacchi. Inoltre, HP Wolf Security ha osservato l'uso di tecniche di smuggling HTML per diffondere il trojan di accesso remoto XWorm attraverso un dropper AutoIt, richiamando precedenti campagne che distribuivano AsyncRAT in modo simile.

HP sottolinea come questi file HTML mostrano tracce di essere stati scritti con l'aiuto di GenAI, sottolineando l'uso crescente dell'intelligenza artificiale generativa nelle fasi iniziali di accesso e distribuzione del malware. L'uso di GenAI offre numerosi vantaggi agli attori malevoli, dalla scalabilità degli attacchi alla creazione di varianti che potrebbero aumentare i tassi di infezione, rendendo più difficile l'attribuzione da parte dei difensori della rete.

In aggiunta, sono stati individuati attori malevoli che creano repository GitHub pubblicizzando cheat e strumenti di modifica per videogiochi, allo scopo di distribuire il malware Lumma Stealer attraverso un dropper .NET.