News

GlassRAT, il Trojan che spia in gran segreto obiettivi commerciali

È stato individuato un programma Trojan per l’amministrazione remota, il quale, nel corso di questi ultimi tre anni, è stato utilizzato con parsimonia per la conduzione di attacchi informatici mirati; si tratta di un temibile software nocivo, che viene tuttora rilevato con notevole difficoltà dalla maggior parte dei programmi antivirus.

Il Trojan, denominato in codice GlassRAT, risulta provvisto di firma digitale; il relativo certificato appartiene ad una nota società cinese, specializzata nello sviluppo di prodotti software. Il RAT malevolo viene utilizzato per spiare determinati cittadini cinesi che lavorano nell’ambito di società commerciali; il malware in questione può essere inoltre associato ad altre campagne nocive, note sin dal 2012.

GlassRAT è stato individuato dai ricercatori di RSA Security nel corso delle indagini condotte riguardo ad un incidente informatico occorso all’inizio dell’anno corrente. Secondo gli esperti di RSA, si è rivelato essere vittima del Trojan un cittadino cinese che operava presso una multinazionale di primaria importanza. Non è stata ancora determinata la modalità attraverso la quale si è prodotta l’infezione; gli esperti non escludono l’eventualità di una campagna di phishing mirata, di un download malevolo di tipo drive-by o l’impiego di un ulteriore metodo abitualmente utilizzato per recapitare il malware in circostanze simili.

“Abbiamo avuto a disposizione soltanto una quantità limitata di dati, per poter effettuare le nostre analisi; in pratica, siamo riusciti ad identificare esclusivamente un’attività specifica all’interno della rete informatica di una società multinazionale, – dichiara Kent Backman, l’esperto di sicurezza IT a capo dell’indagine. – Si trattava, nella fattispecie, di traffico di comando e controllo (C&C), inviato dal dispositivo attraverso la linea utilizzata per la trasmissione dei comandi. La parte ricevente, al contempo, “esplorava” la rete in cui si trovava il computer laptop infetto. L’operazione in corso sembrava essere, a tutti gli effetti, una vera e propria raccolta di informazioni; si trattava, con ogni probabilità, della specifica funzione alla quale era adibito il Trojan RAT”.

Attualmente, il bersaglio principale dei malintenzionati è costituito da organizzazioni di natura commerciale; si tratta di un chiaro indizio, che lascia intravedere possibili scenari di spionaggio industriale. Ad ogni caso, una parte dell’infrastruttura C&C di GlassRAT era stata utilizzata, in precedenza, contro obiettivi la cui attività risulta indubbiamente essere di natura geopolitica.

“La velocità con la quale è di fatto mutata la scelta degli obiettivi – con il passaggio da precisi target geopolitici a specifici bersagli operanti nella sfera commerciale – ci induce a ritenere che ci troviamo di fronte ad un’ulteriore “divisione” di una grande organizzazione di hacking, la quale, per il momento, ha svelato soltanto alcune delle numerose carte di cui dispone”, – sostiene Backman.

Secondo quest’ultimo, RSA Security aveva già provveduto a caricare su VirusTotal, ed altre fonti, la firma YARA, pazientando poi alcuni mesi in attesa del verdetto. Solo al termine di tale operazione, i ricercatori hanno potuto concludere che l’infrastruttura di GlassRAT era stata ugualmente utilizzata per la conduzione di attacchi nei confronti dei governi delle Filippine e della Mongolia; nella circostanza, tuttavia, i malintenzionati avevano dispiegato altri malware, ovvero Mirage (MirageRAT), magicFire e PlugX.

“La finestra di sovrapposizione temporale, per ciò che riguarda l’utilizzo condiviso dell’infrastruttura, si è dimostrata relativamente breve; questo può far pensare ad un piccolo problema tecnico a livello di sistema di sicurezza di GlassRAT, a meno che non si sia trattato di una precisa scelta intenzionale, da parte degli operatori del Trojan, per un utilizzo congiunto dell’infrastruttura”, – scrivono i ricercatori nell’ambito del report da essi stilato.

RSA non ha rivelato il nome della società alla quale è stato illecitamente sottratto il certificato digitale; essa ha tuttavia reso noto che il certificato in questione è stato successivamente revocato. I malintenzionati hanno fatto uso dello stesso per firmare il dropper che si auto-distrugge una volta completato il processo di caricamento del malware principale sul computer-vittima. Durante l’installazione di GlassRAT, secondo gli esperti, l’utente visualizza una finestra di dialogo relativa al certificato, contenente il nome di un’applicazione sviluppata da una software house di Pechino; RSA riferisce che tale applicazione, del tutto legittima, è stata già scaricata da almeno 500 milioni di utenti.

“Possiamo indubbiamente confermare come l’utilizzo di tale malware contro una grande multinazionale si sia rivelato particolarmente efficace, ed abbia prodotto notevoli effetti – conclude Kent Backman. – Per anni, il software nocivo in causa non è stato individuato dai programmi antivirus; ovviamente, un impiego più ampio dello stesso da parte dei malintenzionati avrebbe potuto comportare maggiori probabilità di rilevamento del Trojan GlassRAT”.

Fonte: Threatpost

GlassRAT, il Trojan che spia in gran segreto obiettivi commerciali

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox