Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Silver Fox colpisce con finti avvisi fiscali: 1600 email diffondono ABCDoor e ValleyRAT in India e Russia
Il gruppo di cybercrime noto come Silver Fox è stato collegato a una nuova campagna di phishing mirata che prende di mira organizzazioni in India e Russia, distribuendo un malware chiamato ABCDoor. La catena di infezione sfrutta esche a tema tasse e comunicazioni che imitano avvisi ufficiali di controlli fiscali o presunte violazioni tributarie, inducendo le vittime a scaricare archivi compressi.
Tra inizio gennaio e inizio febbraio sono state intercettate oltre 1600 email di phishing, con impatti stimati su settori come industria, consulenza, retail e trasporti.
L’attacco inizia spesso con un messaggio che include un file PDF contenente link cliccabili. I link rimandano al download di un archivio ZIP o RAR ospitato su infrastrutture controllate dagli attaccanti. In alcune varianti osservate in precedenza, il codice malevolo risulta incorporato direttamente negli allegati. All’interno dell’archivio è presente un eseguibile che si presenta come documento PDF, una tecnica comune per ingannare l’utente e avviare il payload.
Un elemento chiave della campagna è un loader basato su Rust, derivato e modificato da un progetto pubblico, utilizzato per scaricare ed eseguire una backdoor nota come ValleyRAT. Questo loader implementa controlli di ambiente per individuare macchine virtuali e sandbox e applica anche filtri geografici per limitare l’esecuzione a specifici paesi. Nella versione personalizzata il controllo paese include India, Indonesia, Sud Africa, Russia e Cambogia, indicando un targeting più ampio e selettivo.
In almeno una variante è stata osservata una tecnica di persistenza chiamata Phantom Persistence, che abusa di meccanismi di aggiornamento e riavvio del sistema. In pratica gli attaccanti intercettano la fase di spegnimento, bloccano la sequenza normale e forzano un riavvio che consente al malware di essere eseguito all’avvio del sistema operativo.
Dopo il caricamento del payload cifrato, l’infezione porta al download di ValleyRAT, con un componente centrale dedicato alle comunicazioni con il server di comando e controllo, all’esecuzione di comandi e al recupero di moduli aggiuntivi. Tra questi moduli compare ABCDoor, una backdoor basata su Python che comunica via HTTPS e abilita funzioni di controllo remoto e furto dati, inclusi screenshot, controllo di mouse e tastiera, operazioni su file, gestione processi ed esfiltrazione degli appunti.