Il malware dei log di IIS

Un documento di ricerca targato Symantec descrive un nuovo malware , non noto ai principali antivirus e antimalware in circolazione, messo a punto da un nuovo gruppo hacker battezzato Cranefly (UNC3524). Secondo i ricercatori, il malware – conosciuto come Danfuan – installerebbe una backdoor e altri tool impiegando una nuova tecnica in grado di impartire comandi sfruttando i registri di Microsoft Internet Information Services (IIS). Il trojan Geppei utilizzerebbe PyInstaller per convertire uno script Python in un file eseguibile in grado di ricevere comandi (Exco, Cllo, Wrde ad esempio) inviati tramite i registri del server Web Microsoft (che consente l’hosting di siti e applicazioni Web). L’esistenza di tali stringhe in qualsiasi file di registro IIS sarebbe quindi un forte indicatore di un attacco da parte del malware. L’aggressore potrebbe iniettare i comandi nei file di log di IIS utilizzando URL fittizi o addirittura inesistenti. “L’uso di una nuova tecnica e strumenti personalizzati, così come le misure adottate per nascondere le tracce di questa attività sulle macchine delle vittime, indicano che Cranefly è un attore di minacce abbastanza abile”, conclude il rapporto. Il gruppo di attacco Cranefly è stato rilevato per la prima volta dai ricercatori di Mandiant  lo scorso maggio ed è stato descritto come cyber criminali specializzati nel prendere di mira le email dei dipendenti aziendali specializzati in fusioni, acquisizioni e altre transazioni finanziarie.