Un nuovo attacco malware multi-stage è stato recentemente individuato, con la distribuzione di famiglie di malware come varianti di Agent Tesla, Remcos RAT e XLoader. Gli aggressori stanno utilizzando meccanismi di consegna complessi per eludere il rilevamento, aggirare le sandbox tradizionali e garantire la consegna e l'esecuzione dei payload, secondo un ricercatore di Palo Alto Networks Unit 42. L'attacco inizia con un'email ingannevole che si finge una richiesta di ordine, allegando un archivio 7-zip dannoso contenente un file JavaScript codificato (.JSE).

Email di Phishing

L'email di phishing, osservata a dicembre 2024, afferma falsamente che è stato effettuato un pagamento e invita il destinatario a esaminare un file d'ordine allegato. L'apertura del payload JavaScript innesca la sequenza di infezione, con il file che agisce come downloader per uno script PowerShell da un server esterno. Lo script ospita un payload codificato in Base64 che viene successivamente decodificato, scritto nella directory temporanea di Windows ed eseguito.

Dropper di Fase Successiva

Un aspetto interessante è che l'attacco porta a un dropper di fase successiva, compilato utilizzando .NET o AutoIt. Nel caso di un eseguibile .NET, il payload incorporato criptato – una variante di Agent Tesla sospettata di essere Snake Keylogger o XLoader – viene decodificato e iniettato in un processo "RegAsm.exe" in esecuzione, una tecnica già osservata in precedenti campagne di Agent Tesla.

L'eseguibile compilato con AutoIt introduce un ulteriore strato per complicare ulteriormente gli sforzi di analisi. Lo script AutoIt all'interno dell'eseguibile incorpora un payload criptato responsabile del caricamento del shellcode finale, causando l'iniezione del file .NET in un processo "RegSvcs.exe", portando infine al deployment di Agent Tesla. Questo suggerisce che l'attaccante utilizza percorsi di esecuzione multipli per aumentare la resilienza e sfuggire al rilevamento, concentrandosi su una catena d'attacco multistrato piuttosto che su tecniche di offuscamento sofisticate.

Campagna di Malware di Kaspersky

Nel frattempo, Kaspersky ha dettagliato una campagna che prende di mira organizzazioni governative in Mongolia e Russia con una nuova versione di un malware chiamato MysterySnail RAT, attribuita a un attore di minacce di lingua cinese noto come IronHusky. Le infezioni provengono da uno script MMC dannoso che imita un documento di Word, progettato per recuperare un archivio ZIP con un documento esca, un binario legittimo ("CiscoCollabHost.exe") e una DLL dannosa ("CiscoSparkLauncher.dll"). La campagna sfrutta il progetto open-source piping-server per comunicare con l'infrastruttura controllata dagli aggressori.

La nuova versione del malware può accettare quasi 40 comandi, consentendo operazioni di gestione dei file, esecuzione di comandi tramite cmd.exe, gestione dei processi e connessione a risorse di rete tramite moduli DLL dedicati. Dopo azioni preventive da parte delle aziende colpite, è stata osservata una versione più leggera e rielaborata di MysterySnail, chiamata MysteryMonoSnail, con solo 13 comandi di base.