ForceCopy Stealer: la minaccia subdola che prende di mira i dati del browser Web

Un nuovo strumento nell'arsenale di un famigerato gruppo di hacker

Gli esperti di sicurezza informatica hanno scoperto una minaccia informatica sofisticata nota come forceCopy Stealer, uno strumento di raccolta di informazioni utilizzato in attacchi mirati. Questo stealer è collegato a Kimsuky , un gruppo di hacker ben documentato che si ritiene sia affiliato ai servizi segreti della Corea del Nord. Rapporti recenti indicano che Kimsuky ha sfruttato tecniche di phishing per distribuire forceCopy Stealer, concentrandosi sull'ottenimento di dati utente sensibili archiviati nei browser Web.

Come gli aggressori distribuiscono forceCopy Stealer

Il metodo di consegna di forceCopy Stealer ruota attorno a email ingannevoli create per apparire legittime. Queste email in genere includono un allegato mascherato da documento Microsoft Office o PDF, che in realtà è un file di collegamento di Windows (LNK). Una volta che il destinatario apre il file, attiva script dannosi tramite PowerShell o mshta.exe di Microsoft, entrambi strumenti di sistema legittimi spesso sfruttati per scopi non autorizzati.

Dopo l'esecuzione di questi script, vengono recuperati altri payload da una fonte esterna. Gli aggressori distribuiscono quindi altri strumenti insieme a forceCopy Stealer, tra cui un noto trojan chiamato PEBBLEDASH e una versione modificata di un'utilità open source Remote Desktop chiamata RDP Wrapper. Questi componenti lavorano insieme per stabilire un accesso a lungo termine ai sistemi compromessi.

La funzione principale di forceCopy Stealer

In sostanza, forceCopy Stealer è progettato per estrarre dati da posizioni specifiche associate ai browser web. L'obiettivo principale sembra essere i file di configurazione del browser, che possono contenere credenziali di accesso archiviate. Concentrandosi su queste directory, lo strumento aggira alcune restrizioni di sicurezza che proteggono dalle tecniche convenzionali di furto di credenziali. Poiché i browser web spesso archiviano password e altre informazioni sensibili per comodità dell'utente, un aggressore con accesso a questi file potrebbe potenzialmente recuperare i dettagli di accesso per vari servizi online.

Implicazioni delle attività di forceCopy Stealer

L'implementazione di forceCopy Stealer solleva preoccupazioni sulle implicazioni più ampie per la sicurezza informatica. I dati del browser rubati potrebbero essere sfruttati in diversi modi, tra cui l'accesso non autorizzato agli account, il furto di identità o ulteriori attacchi mirati. Inoltre, poiché lo stealer viene utilizzato insieme ad altri strumenti dannosi come keylogger e sistemi di comunicazione basati su proxy, gli individui o le organizzazioni interessati potrebbero affrontare rischi per la sicurezza a lungo termine.

Un cambiamento notevole nelle tattiche di Kimsuky è l'uso di strumenti come RDP Wrapper e proxy malware, che consentono agli aggressori di mantenere un accesso persistente alle macchine compromesse. Ciò rappresenta un'evoluzione nei loro metodi, allontanandosi dalle backdoor utilizzate in precedenza a favore di un approccio più modulare e adattabile.

Una minaccia persistente e in continua evoluzione

Kimsuky, noto anche con alias come APT43 ed Emerald Sleet, è attivo da oltre un decennio. Utilizzano spesso tattiche di ingegneria sociale per aggirare le misure di sicurezza. La loro capacità di personalizzare campagne di phishing e sfruttare strumenti legittimi per scopi dannosi li ha resi una minaccia persistente nel panorama della sicurezza informatica.

Recenti scoperte suggeriscono che il gruppo continua a perfezionare i propri metodi, con forceCopy Stealer come ultima aggiunta al suo arsenale. L'enfasi sul furto di dati del browser evidenzia un interesse continuo per le credenziali, potenzialmente a scopo di spionaggio o guadagno finanziario. Questo sviluppo sottolinea la necessità per gli utenti di rimanere vigili contro i tentativi di phishing e l'accesso non autorizzato ai dati.

Rafforzare le difese contro il furto di dati del browser

Dato il crescente utilizzo dell'archiviazione delle credenziali basata su browser, è importante implementare misure di protezione contro minacce come forceCopy Stealer. Gli utenti devono essere cauti quando gestiscono allegati e-mail, in particolare quelli provenienti da fonti sconosciute. Le organizzazioni devono rafforzare i protocolli di sicurezza e-mail e monitorare le attività sospette che potrebbero indicare tentativi di accesso remoto non autorizzati.

Comprendendo il funzionamento di forceCopy Stealer e le tattiche impiegate da gruppi come Kimsuky, tutti possono adottare misure proattive per salvaguardare i propri asset digitali e ridurre il rischio di tali minacce informatiche.