Stiamo svolgendo indagini su una campagna di ransomware che sfrutta gli eseguibili e le DLL legittime di Sophos modificandone il contenuto originale, sovrascrivendo il codice di ingresso e inserendo il payload decifrato come risorsa – in altre parole, impersonando file legittimi per tentare di introdursi nei sistemi. Un controllo preliminare indica che tutti i file Sophos colpiti facevano parte della versione 2022.4.3 del nostro prodotto Windows Endpoint.
A dire il vero, questo tipo di comportamento dannoso non è (purtroppo) una novità per il settore della sicurezza informatica, anzi, per qualsiasi sviluppatore di software. Nel corso degli anni, si è assistito ad altri infostealer che si spacciavano per programmi di installazione; si sono viste raccolte di utility false, tra cui antimalware di marca diversa rietichettati come protezioni legittime di Sophos; si sono visti criminali attaccare codice closed-source e open-source con lo stesso fervore. Più avanti in questo post parleremo di cosa gli aggressori pensano di ottenere da tutto ciò e di come i difensori possono rispondere.
In generale, fa parte del panorama tecnologico; infatti, nel corso delle indagini su questa campagna, abbiamo riscontrato abusi simili di file pubblicati da altri difensori, tra cui AVG, BitDefender, Emsisoft e Microsoft, nonché l’uso di una firma digitale forse compromessa (e sicuramente scaduta) di un’altra azienda, oltre a un “programma di installazione” fasullo che sostiene di essere relativo a un software di un’altra azienda ancora, insieme a decine di downloader dannosi, programmi di installazione MSI e altri indicatori di (tentata) compromissione. La nostra indagine continua e si tradurrà nel file Indicators of Compromise (Indicatori di compromissione) sul nostro Github; i fornitori interessati avranno nostre notizie in privato.
Continua a leggere i dettagli qui
Lascia un commento