La campagna CRESCENTHARVEST evidenzia come le minacce di cyber espionage possano sfruttare eventi geopolitici e contenuti emotivamente coinvolgenti per colpire utenti specifici. In questo caso il bersaglio principale sembra essere costituito da persone che supportano le proteste in Iran, con un approccio orientato al furto di informazioni e alla sorveglianza di lungo periodo tramite un RAT, cioè un remote access trojan capace di eseguire comandi da remoto, registrare digitazioni e sottrarre dati sensibili.

Il punto di forza dell’attacco è la social engineering. Le vittime vengono attirate con archivi RAR che promettono foto e video legati alle proteste e includono materiale autentico per aumentare la credibilità. All’interno compaiono anche file LNK malevoli camuffati da contenuti multimediali usando la doppia estensione, ad esempio jpg.lnk o mp4.lnk. Questo trucco induce l’utente a cliccare su quello che sembra un file innocuo, mentre in realtà avvia una catena di esecuzione.

Una volta aperto il collegamento, viene eseguito codice PowerShell che scarica un ulteriore archivio ZIP e contemporaneamente mostra un contenuto benigno, così da ridurre i sospetti. Nel pacchetto scaricato è presente un binario legittimo firmato da Google, software_reporter_tool.exe, usato come elemento affidabile per effettuare DLL side loading. In pratica l’eseguibile carica librerie DLL malevole posizionate ad arte, consentendo agli attaccanti di far girare codice non autorizzato sfruttando un programma considerato attendibile.

Tra i componenti descritti emergono due DLL chiave. Una è un impianto in C++ che punta a recuperare e decifrare chiavi di cifratura legate a Chrome, aumentando la capacità di sottrarre dati dal browser. L’altra, identificata come il modulo principale CRESCENTHARVEST, funziona da strumento di accesso remoto e raccolta dati, con funzioni che includono enumerazione di account locali, raccolta di metadati di sistema, credenziali e cookie del browser, dati di Telegram Desktop e keylogging.

La comunicazione con il server di comando e controllo avviene tramite API WinHTTP, una scelta utile per mimetizzare il traffico nel normale flusso di rete. Le operazioni supportano comandi per elencare directory, cambiare percorso, raccogliere cronologia, avviare keylogger e caricare file sottratti. Questo scenario conferma l’importanza di controlli su allegati, estensioni ingannevoli, esecuzione di LNK e monitoraggio di PowerShell, soprattutto quando i contenuti fanno leva su temi di attualità.