Blackwood: update WPS Office utilizzato per installare malware

Un autore di minacce avanzate precedentemente sconosciuto, ma ora tracciato come "Blackwood", utilizza un malware sofisticato chiamato NSPX30 in attacchi di cyberspionaggio contro aziende e privati. I ricercatori della società di sicurezza informatica ESET avevano già individuato gli attacchi di Blackwood con il malware NSPX30 in una campagna nel 2020 e ritengono che le attività del gruppo siano in linea con gli interessi dello stato cinese. Tale gruppo hacker ha preso di mira obiettivi in Cina, Giappone e Regno Unito. Il malware è stato diffuso attraverso i meccanismi di aggiornamento di software legittimi come la suite WPS Office, la piattaforma di messaggistica istantanea Tencent QQ e l'editor di documenti Sogou Pinyin. Secondo i ricercatori, l’autore della minaccia effettua attacchi AitM e intercetta il traffico generato da NSPX30 per nascondere le proprie attività e nascondere i propri server di comando e controllo (C2).

Blackwood: malware sofisticato che raccoglie informazioni dal sistema violato

I ricercatori hanno specificato che NSPX30 è un implant sofisticato basato sul codice di una backdoor del 2005 denominata “Project Wood”. Quest’ultima aveva capacità elementari per raccogliere dati di sistema, keylogging e acquisire screenshot. Tra gli altri implant emersi dal Progetto Wood è stato trovato anche DCM (Dark Spectre), scoperto nel 2008. ESET ritiene che NSPX30 si sia evoluto da DCM. A differenza dei suoi predecessori, NSPX30 è caratterizzato da un'architettura multistadio, che include componenti come un dropper, un programma di installazione DLL con ampie funzionalità di bypass dell'UAC, un loader, un orchestratore e una backdoor, ciascuno con il proprio set di plug-in. Il malware dimostra un progresso tecnico significativo e ha la capacità di intercettare i pacchetti per nascondere la propria infrastruttura. Ciò gli consente di operare di nascosto. NSPX30 dispone inoltre di meccanismi che lo aggiungono alle liste consentite degli strumenti anti-malware cinesi per eludere il rilevamento.

La funzione principale di NSPX30 è raccogliere informazioni dal sistema violato, inclusi file, screenshot, tasti premuti, dati hardware e di rete e credenziali. La backdoor può anche rubare registri di chat ed elenchi di contatti da Tencent QQ, WeChat, Telegram, Skype, CloudChat, RaidCall, YY e AliWangWang. Questa può anche terminare i processi tramite PID, creare una shell inversa, spostare file in percorsi specificati o disinstallarsi dal sistema infetto. Un aspetto notevole delle attività di Blackwood è la capacità di fornire NSPX30 dirottando le richieste di aggiornamento effettuate da software legittimi. Blackwood intercetta la comunicazione HTTP non crittografata tra il sistema della vittima e il server di aggiornamento e interviene per diffondere il malware. L’esatto meccanismo che consente a Blackwood di intercettare quel traffico è sconosciuto. ESET ipotizza che ciò potrebbe essere possibile utilizzando un implant nelle reti degli obiettivi, possibilmente su dispositivi vulnerabili come router o gateway.