Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
SumatraPDF Trojanizzato Colpisce: GitHub C2 e VS Code Tunnels trasformano un PDF in backdoor invisibile
Una nuova campagna di cyber attacco sta prendendo di mira utenti di lingua cinese attraverso una versione trojanizzata di SumatraPDF, il noto lettore PDF per Windows. Il file malevolo viene distribuito in un archivio ZIP che contiene esche sotto forma di documenti a tema militare.
Quando la vittima apre il contenuto e avvia il programma contraffatto, viene mostrato un PDF esca credibile per ridurre i sospetti, mentre in parallelo parte la compromissione del sistema.
Il meccanismo centrale dell’attacco prevede il recupero di shellcode cifrato da un server di staging, usato poi per caricare AdaptixC2 Beacon, un agente post-exploitation impiegato per eseguire comandi e gestire attività sul computer infetto. Un elemento importante per la sicurezza informatica è che la catena di infezione utilizza un loader personalizzato, identificato come TOSHIS, variante di una famiglia di malware già associata a campagne precedenti. Questo loader abilita un flusso multi-fase, in cui la componente di distrazione e il payload vengono gestiti in modo coordinato.
Per il comando e controllo, gli attaccanti sfruttano GitHub come piattaforma C2. In pratica il malware effettua beaconing verso infrastrutture controllate dagli aggressori e usa risorse ospitate su GitHub per ricevere task e istruzioni. Questa scelta rende più complessa la rilevazione, perché il traffico verso servizi legittimi può confondersi con attività normali di sviluppo o aggiornamento software.
L’attacco prosegue solo se la macchina compromessa viene valutata interessante. In quel caso gli operatori installano Microsoft Visual Studio Code e configurano VS Code tunnels, una funzionalità pensata per l’accesso remoto e lo sviluppo, ma che può essere abusata per ottenere persistenza e controllo interattivo senza ricorrere a strumenti di remote access più evidenti. Su alcuni host vengono inoltre installate applicazioni alternative trojanizzate, probabilmente per mimetizzare ulteriormente le operazioni.
Sono stati osservati anche indicatori coerenti con l’uso storico di altri strumenti come Cobalt Strike Beacon e una backdoor personalizzata, segno di un ecosistema di payload intercambiabili e di una strategia flessibile. Per difendersi, diventa cruciale verificare l’integrità dei software scaricati, bloccare esecuzioni anomale da archivi compressi, monitorare l’uso inatteso di VS Code tunnels e analizzare connessioni sospette verso repository e risorse GitHub in contesti non compatibili con le attività aziendali.