Spesso vediamo come alcune minacce già note facciano più giri nel web prima di essere estirpate del tutto o prima di venire modificate prendendo un nuovo nome e cambiando modalità di approccio alle vittime. Nel caso che raccontiamo oggi, la minaccia osservata era già stata vista intorno all’ottobre del 2023 per scomparire poi dai radar anche in base alla sua facile individuazione. Stiamo parlando di Obj3ctivity, un malware che gli hacker stanno provando a diffondere che campagne email serrate e che è stato osservato anche in Italia negli ultimi giorni dagli esperti di CERT-AgID, che ne ha segnalato il ritorno.
Le caratteristiche della campagna sono molto semplici, partendo da una email con oggetto che richiama ad una sorta di inchiesta situata a Dubai (Inquiry-Dubai) che arriva con una firma apparentemente credibile e da una casella sicuramente violata in precedenza. All’interno, l’utente che la riceve potrà vedere la miniatura di un documento fotografato con un link che invita a visualizzarla correttamente. A quel punto si viene reindirizzati verso un file che utilizza codice Javascript che a sua volta, mentre viene scaricata l’inutile immagine, fa eseguire codice PowerShell e, a download finito, si avrà un file .NET. Tutte le operazioni successive, di carattere squisitamente tecnico e sulle quali non ci dilunghiamo, portano allo scaricamento di un malware di tipo infostealer chiamato, appunto, Obj3ctivity.
Col tempo, siccome non potevano essere riscontrati dettagli inserendo questo nome dato ad ottobre scorso, l’infostealer è stato ribattezzato ed è riconducibile al nome PXRECVOWEIWOEI Stealer, per il quale sono disponibili alcuni dettagli anche in un vecchio tweet di oltre un anno fa. L’attività dell’ormai ex Obj3ctivity consiste, secondo quanto osservato da CERT-AgID, nel furto di diversi dati importanti come dati sul device e credenziali varie a sistemi come FTP, email e account di messaggistica istantanea. Quando l’operazione di esfiltrazione è completata, si provvede a racchiudere tutto in vari file di testo che vengono compressi in ZIP e vengono poi condivisi e diffusi mediante canali Telegram o via email.
Scoprire questa campagna non sembrerebbe essere di per sé troppo difficile ma è sempre bene ricordare e diffondere i dettagli del maggior numero possibile di minacce per far sì che anche l’utente meno esperto possa informarsi e bloccare queste offensive sul nascere, specie quando vengono prese di mira aziende o enti pubblici, che più di una volta si sono ritrovati inermi anche di fronte a pericoli di scarsa identità o di facile riconoscibilità. Per scoprire se si è già stati colpiti, il CERT-AgID ha diffuso gli Indicatori di Compromissione (IoC), che possono essere visionati al link presente nelle fonti.
Fonte: 1