A distanza di quasi un anno di assenza, è ritornata nuovamente attiva in Italia una campagna in lingua inglese mirata a diffondere l’infostealer “0bj3ctivity”. Questo malware era stato individuato per la prima volta nel paese nell’ottobre 2023.
Le differenze rispetto alla campagna precedente sono minime e riguardano principalmente l’oggetto dell’e-mail, il mittente e la firma in calce. Il resto è molto simile: anche in questo caso, l’e-mail contiene un’immagine sfocata con un collegamento a Discord. La differenza principale è che il file utilizzato per il primo passo dell’infezione utilizza JavaScript anziché un file VBS.
Il processo di infezione prosegue con l’esecuzione di un codice PowerShell, che ha il compito di scaricare un’immagine steganografata contenente un file .NET in base64. Successivamente, un URL viene richiamato per ottenere un altro file in base64 che, una volta decodificato, diventa un eseguibile .NET. Questo nuovo stadio, un’assembly .NET che, come il precedente, consiste di codice non offuscato, scarica il payload finale: l’infostealer.
Il CERT-AgID ha già analizzato nel dettaglio il codice di quest’ultimo stadio, denominando l’infostealer “0bj3ctivity” in base al titolo dell’assembly .NET, poiché nessuna sandbox era allora in grado di riconoscerlo. Attualmente, JoeSandbox lo riconosce come “PXRECVOWEIWOEI Stealer”. Nonostante l’analisi approfondita del CERT-AGID, online non sono disponibili altri dettagli significativi, eccezion fatta per un tweet generico di agosto 2023.
In conclusione, i dati rubati, inclusi le informazioni sulla macchina compromessa e le credenziali dei più comuni client di FTP, messaggistica istantanea e posta elettronica, vengono salvati come file di testo, compressi in un archivio ZIP e inviati al C2 tramite e-mail o Telegram.
Per contrastare efficacemente questa campagna fraudolenta, il CERT-AgID ha riportato sulla loro pagina ufficiale gli Indicatori di Compromissione (IoC) identificati durante l’analisi, già condivisi con le Pubbliche Amministrazioni accreditate.
https://cert-agid.gov.it/news/linfostealer-0bj3ctivity-e-tornato-in-azione/