CERT-AGID
Computer Emergency Response Team
AGID

Agenzia per
l'Italia Digitale

Seguici su

Menu

Menu di navigazione

Campagna ScreenConnect per il controllo remoto

05/09/2023

ScreenConnect

È in corso una campagna malevola volta ad installare il software ScreenConnect per il controllo remoto di postazioni Windows.

La campagna si presenta come un’e-mail riguardante una fattura non pagata con allegato un PDF contenente un link ad un file malevolo e con la dicitura «Questo documento contiene file protetti, per visualizzarli, cliccare sul pulsante “Open”»

Il contenuto del PDF malevolo


Cliccando sul link viene scaricato un eseguibile, uno zip o uno script a seconda dello specifico PDF che varia di e-mail in e-mail.

Una volta eseguito il file malevolo scaricato viene installato il software ScreenConnect per il controllo remoto del computer.

L’installazione è configurata per far connettere la macchina delle vittima ad un’istanza controllata dagli attaccanti senza bisogno dell’intervento dell’utente.

La configurazione dell’installazione di ScreenConnect con l’host di connessione dell’infrastruttura lecita di ConnectWise

La campagna utilizza numerosi URL di servizi di file sharing (oltre a GitHub) per il download dei file malevoli, questo aggiunto al fatto che il software installato comunica con l’infrastruttura lecita di ConnectWise (l’azienda produttrice di ScreenConnect) rende difficile fornire una lista efficace di IoC. Pertanto si raccomanda di prestare attenzione a questo tipo di e-mail.

Non sono al momento disponibili evidenze riguardo lo scopo ultimo degli attori dietro la campagna, il controllo remoto della macchina della vittima è anomalo rispetto alle usuali campagne malware che colpiscono l’Italia. Quest’ultime sono infatti mirare al furto di informazioni e solo in seconda istanza, in modo puramente opportunistico, si trasformano in teste di ponte per il controllo remoto della macchina.

Il controllo della macchina permette agli attori malevoli di valutare il da farsi di caso in caso ed è possibile che sia usato da operatori IAB (Initial Access Broker) che hanno il compito di valutare l’appetibilità della vittima per poi passare il comando ad attori Ransomware o di spionaggio. Alla prima ipotesi si aggiunge l’altrettanto anomala campagna del ransomware Knight diffuso per e-mail.

Qualore si volesse bloccare temporaneamente la comunicazione con l’infrastruttura di ConnectWise, l’host di connessione (dominio) usato dai sample a disposizione è: instance-m73xwc-relay.screenconnect.com

Indicatori di Compromissione

Al fine di rendere pubblici i dettagli della campagna odierna si riportano di seguito gli IoC rilevati:

Link: Disponibili gli IoC

Taggato  ScreenConnect