Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Facebook Trappola APT37: RokRAT arriva via finto PDF militare e chat Telegram
Il gruppo di cyber spionaggio nordcoreano noto come APT37 è stato collegato a una nuova campagna di social engineering su Facebook, usata come canale iniziale per distribuire il malware RokRAT. La tecnica parte da un contatto apparentemente innocuo, con richieste di amicizia e conversazioni costruite per aumentare la fiducia della vittima.
Dopo il primo aggancio, gli attaccanti spostano il dialogo su Messenger e poi su canali esterni come Telegram, dove avviene la consegna del contenuto malevolo.
Il cuore dell’attacco è il pretexting, cioè la creazione di un pretesto credibile per spingere l’utente a installare un software. In questo caso viene proposto un visualizzatore PDF necessario, secondo la storia raccontata, per aprire documenti militari cifrati. Il programma indicato è una versione manomessa di Wondershare PDFelement. Una volta avviato, l’installer compromesso esegue shellcode incorporato che permette di ottenere un primo accesso al sistema.
Un elemento rilevante per la cybersecurity è l’uso di infrastrutture legittime ma compromesse per il comando e controllo. Gli attaccanti sfruttano un sito web reale associato a un servizio di informazioni immobiliari con sede a Seoul per impartire comandi e distribuire payload. Inoltre il secondo stadio viene mascherato come immagine JPG, una scelta che aiuta a eludere controlli superficiali e a confondere l’analisi basata su estensioni e tipologie di file.
La catena di infezione descritta include la creazione di due account Facebook dedicati, l’invio di un archivio ZIP dopo il passaggio su Telegram e la presenza nel pacchetto di più file esca, tra cui documenti PDF e istruzioni di installazione. Dopo l’esecuzione, il malware stabilisce comunicazione con un server di comando e controllo e scarica il payload successivo, che porta infine al caricamento di RokRAT.
RokRAT mantiene funzionalità orientate allo spionaggio e al furto di dati, come cattura di screenshot, esecuzione di comandi tramite cmd.exe, raccolta di informazioni sull’host e ricognizione del sistema. Un’altra caratteristica è l’abuso di servizi cloud legittimi come Zoho WorkDrive per il comando e controllo, con tecniche di offuscamento del traffico e tentativi di evasione verso alcuni prodotti di sicurezza. Il quadro complessivo mostra una strategia più focalizzata sull’evoluzione di consegna, esecuzione ed evasione, piuttosto che su cambiamenti radicali del malware.