Una nuova campagna di malware sta prendendo di mira gli utenti di criptovalute utilizzando Node.js per distribuire payload dannosi per il furto di informazioni e l'esfiltrazione dei dati. Microsoft ha lanciato l'allerta su questa attività, rilevata per la prima volta nell'ottobre 2024, che sfrutta esche legate al trading di criptovalute per indurre gli utenti a installare un installer fraudolento da siti Web che simulano software legittimi come Binance o TradingView.
Questo installer scaricato è dotato di una libreria di collegamento dinamico ("CustomActions.dll") che raccoglie informazioni di base sul sistema utilizzando Windows Management Instrumentation (WMI) e stabilisce la persistenza attraverso un'attività pianificata. Per mantenere l'inganno, la DLL avvia una finestra del browser tramite "msedge_proxy.exe" che mostra il sito di trading di criptovalute legittimo, mentre il compito pianificato esegue comandi PowerShell per scaricare script aggiuntivi da un server remoto.
Questi script escludono il processo PowerShell in esecuzione e la directory corrente dalla scansione da parte di Microsoft Defender for Endpoint, eludendo così la rilevazione. Una volta impostate le esclusioni, un comando PowerShell offuscato viene eseguito per ottenere e avviare script da URL remoti, capaci di raccogliere estese informazioni sul sistema operativo, BIOS, hardware e applicazioni installate. I dati raccolti vengono poi inviati al server di comando e controllo (C2) tramite una richiesta POST HTTPS.
La catena di attacco prosegue scaricando un file archivio dal C2 contenente il runtime Node.js e un file JavaScript compilato (JSC). L'eseguibile Node.js avvia l'esecuzione del file JSC, che stabilisce connessioni di rete e probabilmente sottrae informazioni sensibili dal browser.
In un'altra variante osservata da Microsoft, la strategia ClickFix viene utilizzata per consentire l'esecuzione di JavaScript inline, utilizzando un comando PowerShell dannoso per scaricare il binario Node.js e utilizzarlo per eseguire codice JavaScript direttamente, anziché da un file. Questo JavaScript inline esegue attività di scoperta di rete per identificare asset di alto valore, maschera il traffico C2 come attività legittima di Cloudflare per evitare la rilevazione, e ottiene persistenza modificando le chiavi di esecuzione del Registro di Windows.
Node.js è un ambiente di runtime JavaScript open-source e multipiattaforma, ampiamente utilizzato e apprezzato dagli sviluppatori perché consente di costruire applicazioni frontend e backend. Tuttavia, gli attori delle minacce sfruttano queste caratteristiche di Node.js per tentare di mescolare malware con applicazioni legittime, bypassare i controlli di sicurezza convenzionali e persistere negli ambienti target.
Nel frattempo, CloudSEK ha rivelato che un sito falso di conversione PDF-to-DOCX che imita PDF Candy sta utilizzando l'inganno sociale ClickFix per indurre le vittime a eseguire comandi PowerShell codificati che alla fine implementano il malware SectopRAT, noto per il furto di dati sensibili dai sistemi compromessi.
