ESET: tre nuovi malware utilizzati ai danni delle istituzioni governative ucraine
I ricercatori di ESET hanno individuato Quasar, Sobaken e Vermin, tre RAT utilizzati per campagne di spionaggio ai danni delle istituzioni governative ucraine. I tre malware sono stati utilizzati contro obiettivi diversi allo stesso tempo, condividono parti della loro infrastruttura e si collegano agli stessi server C & C.
I criminali dietro queste campagne di spionaggio sono stati individuati dai ricercatori di ESET dalla metà del 2017 e le loro attività sono state rese pubbliche per la prima volta nel gennaio 2018. Da allora i cyber criminali hanno continuato a migliorare le loro campagne sviluppando nuove versioni dei loro strumenti di spionaggio.
Vermin è una backdoor con numerose funzionalità e componenti opzionali: la sua versione più recente supporta 24 comandi, implementati nella payload principale, oltre a diversi comandi aggiuntivi implementati tramite componenti opzionali, tra cui registrazione audio, keylogging e password stealing. Apparso per la prima volta a metà del 2016, Vermin è ancora in uso. Come Quasar e Sobaken, Vermin è scritto in .NET.
Quasar è un RAT open-source, liberamente disponibile su GitHub, le cui tracce sono state individuate dai ricercatori di ESET già dall’ottobre 2015. Sobaken è una versione molto modificata di Quasar: alcune funzionalità sono state rimosse per rendere l'eseguibile più piccolo e sono stati aggiunti diversi trucchi anti-sandbox.
Le campagne analizzate dai ricercatori di ESET sono basate sul social engineering e veicolano i tre RAT come allegati alle email. Sono stati comunque utilizzati diversi trucchi per attirare le vittime nel download e nell'esecuzione del malware, come l'override da destra a sinistra per oscurare la reale estensione degli allegati e una combinazione appositamente predisposta di un documento Word che contiene un exploit CVE-2017-0199.
Tutte le famiglie di malware analizzate sono installate nello stesso modo: un dropper rilascia un file contenente una payload dannosa nella cartella %APPDATA%, inserendolo all’interno di una sottocartella denominata con il nome di una società legittima (solitamente Adobe, Intel o Microsoft). Quindi, crea un'attività pianificata che esegue la payload ogni 10 minuti per garantire la sua persistenza.
Per assicurarsi che il RAT venga eseguito solo su macchine mirate ed eviti sistemi di analisi e sandbox automatici, gli hacker hanno implementato diverse misure: il malware cessa di funzionare se non sono installati layout di tastiera russi o ucraini, se l'indirizzo IP del sistema di destinazione si trova al di fuori di questi due paesi o se è registrato da uno dei numerosi fornitori di soluzioni di sicurezza o provider cloud selezionati.
I criminali informatici dietro queste campagne hanno dimostrato che, con astuti stratagemmi di ingegneria sociale, gli attacchi di cyber-spionaggio possono riuscire anche senza l’utilizzo di malware sofisticati. Questo sottolinea ancora una volta l’importanza di una corretta formazione ed educazione alla cyber sicurezza, oltre che dell’utilizzo di una valida soluzione per proteggere i dispositivi da ogni tipo di minaccia.
Per visionare il white paper completo di analisi di Quasar, Sobaken e Vermin è possibile collegarsi a questo link.
FONTE: ESET
Rimani aggiornato seguendoci su Google News!
Unisciti all'orda: la chat telegramper parlare di videogiochi
Altri contenuti per Malware
- Guardi video a tema calcistico o culinario su YouTube? Fai attenzione alla nuova truffa
- L'utente apre un allegato apparentemente vuoto, i malintenzionati controllano il PC
- ESET mette in guardia i rapper che usano l'autotune: un malware colpisce i plugin VST
- ESET: in aumento la minaccia delle false app bancarie per dispositivi Android
- ESET: l'impatto del crimine informatico sulla privacy e sulla sicurezza
Malware
Contenuti più Letti
- Disinstallate subito queste 3 app Android malevole che mirano al conto in banca
- ESSELUNGA torna ALLA CARICA: GRANDE OFFERTA su APPLE IPHONE 15
- I tre smartphone Xiaomi migliori per fare foto sensazionali: ecco perché
- Auricolari JBL Tune Flex Ghost, errore di prezzo? Meglio approfittare!
- Come faccio a sapere se nella mia zona c'è la fibra? Le nuove mappe per FTTH ed FWA
- 'Non potevo non vederli, erano ovunque': i ragni lupo sono dappertutto
- Questo frutto sta per diventare un nuovo 'super-cibo'? Vediamo perché
- Quanto sarà potente il nuovo razzo Starship di Elon Musk? è impressionante
- Viene avvistata una luce su un pianeta lontano che ha sorpreso la scienza
- Dopo 70 anni la 'profezia' di Enrico Fermi sembra essersi avverata