La recente scoperta di una campagna malware avanzata denominata Water Curse mette in allarme il settore della sicurezza informatica. Questo nuovo attore della minaccia sfrutta repository GitHub apparentemente legittimi, utilizzando ben 76 account diversi per distribuire software dannoso in più fasi. I repository, che si presentano come strumenti per penetration testing, nascondono in realtà payload malevoli integrati all’interno di file di configurazione di progetti Visual Studio. Tra questi troviamo strumenti come SMTP email bomber e Sakura-RAT, mirati specificamente a sviluppatori e catene di fornitura software.

Caratteristiche tecniche di Water Curse

Il malware Water Curse è progettato per esfiltrare dati sensibili, tra cui credenziali, dati dei browser e token di sessione. Una volta eseguito, attiva una catena di infezione multistadio sfruttando script offuscati in Visual Basic Script e PowerShell. Questi script scaricano archivi criptati, estraggono applicazioni basate su Electron e raccolgono informazioni dettagliate sul sistema infetto. Per garantire la persistenza, vengono impiegate tecniche anti-debug, metodi di escalation dei privilegi e script PowerShell che indeboliscono le difese dell’host e ostacolano il ripristino del sistema.

Diffusione attraverso piattaforme affidabili

La campagna evidenzia la crescente tendenza dei cybercriminali a utilizzare piattaforme affidabili come GitHub per diffondere malware e colpire la supply chain. L’infrastruttura e il comportamento di Water Curse puntano su furtività, automazione e scalabilità, con esfiltrazione attiva dei dati tramite Telegram e servizi di file sharing pubblici. Gli attacchi sono motivati dal profitto economico, con furto di credenziali, dirottamento di sessioni e rivendita degli accessi compromessi.

Strategie e campagne parallele

Parallelamente, si osservano campagne che sfruttano la strategia ClickFix per distribuire famiglie di malware come AsyncRAT, DeerStealer, Filch Stealer, LightPerlGirl e SectopRAT. Questi attacchi utilizzano tunnel temporanei Cloudflare per servire i payload da infrastrutture apparentemente legittime, eludendo facilmente le difese perimetrali tradizionali. La dinamicità e la legittimità dei servizi impiegati rendono difficile la distinzione tra traffico malevolo e attività DevOps autentiche.

Attacchi mirati a organizzazioni europee

Infine, campagne simili hanno preso di mira organizzazioni europee con email di phishing a tema fatture e link a PDF ospitati su OneDrive, utilizzando Sorillus RAT per il furto di informazioni sensibili. L’uso di servizi cloud e il ricorso a payload scritti in portoghese brasiliano suggeriscono una matrice internazionale delle minacce e una strategia avanzata di evasione dei controlli di sicurezza.