News

Gli autori dei cyber-attacchi Musical Chairs aggiornano il loro RAT

Pochi giorni fa, gli esperti di Palo Alto Networks hanno svelato l’esistenza di una nuova cyber-campagna, avviata più di cinque anni fa, in cui viene fatto uso di una nuova variante dell’onnipresente remote administration tool (RAT) denominato Gh0st. La campagna malevola in questione è stata soprannominata Musical Chairs (“sedie musicali”, il tradizionale gioco ad eliminazione basato sul continuo cambio di sedia per coloro che vi partecipano; le sedie disponibili sono sempre una in meno rispetto all’effettivo numero dei giocatori); nel mese di luglio, nell’ambito della suddetta cyber-campagna, ha iniziato ad essere diffusa una nuova variante del malware impiegato, che la società californiana – specializzata in sicurezza IT – ha battezzato con il nome di Piano Gh0st.

I ricercatori fanno notare che il trojan-RAT Gh0st è un malware di origine cinese; esso è noto da tempo e viene spesso utilizzato nelle campagne di spionaggio; il suo codice sorgente ed i relativi builder sono liberamente accessibili in Rete. Da parte sua, la variante Piano – comparsa di recente – costituisce soltanto uno dei derivati della versione 3.6. di Gh0st. Gli autori di Musical Chairs utilizzano un nuovo file wrapper per nascondere il payload nocivo di Piano Gh0st: il malware in causa viene recapitato alla vittima sotto forma di file eseguibile autoestraente (SFW), provvisto di funzionalità di dropper. Il payload viene poi salvato nel sistema come <Piano.dll>; i compiti principali di tale file sono rappresentati dalla decodifica, dal caricamento e dall’avvio della libreria dinamica in esso incorporata (il trojan Gh0stRat). Così come le altre iterazioni di Gh0st 3.6, utilizzate nel quadro della campagna Musical Chairs, anche la variante Piano è in grado di registrare le sequenze dei tasti premuti dall’utente e di assicurare l’accesso da remoto; essa prevede, inoltre, l’utilizzo di connessioni video e audio, nonché la possibilità di gestire i file in qualità di amministratore.

“Le infrastrutture utilizzate nell’ambito di Musical Chairs si rivelano di particolare interesse, in primo luogo per la loro indiscussa longevità, e per l’utilizzo di molteplici server di comando e controllo del malware Gh0st, peraltro collocati sul medesimo host”, – affermano inoltre i ricercatori nel blog di Palo Alto. Le osservazioni effettuate da questi ultimi hanno tuttavia evidenziato come, nel corso degli ultimi due anni, i malintenzionati abbiano utilizzato un unico server C&C per comunicare con il malware attraverso un protocollo TCP personalizzato.

I dati raccolti hanno permesso di determinare che alcuni domini, associati a tale campagna malevola, vengono utilizzati dagli autori di Musical Chairs sin dal 2010. Il dominio più “resistente”, nel quadro delle suddette infrastrutture, risulta correlato ad un server Windows 2003, che fa uso di un indirizzo IP registrato negli USA; ad ogni caso, l’accesso a tale server viene effettuato attraverso un’interfaccia realizzata in lingua cinese. Secondo i dati diffusi da Palo Alto, dal 2013 ad oggi il suddetto server ha ricevuto richieste da almeno 32 diverse varianti di Gh0st.

I ricercatori non hanno esattamente specificato chi potrebbe celarsi dietro al malware Piano Gh0st, ma hanno tuttavia osservato come, all’interno della dll denominata Gh0stRat, sia stato individuato un percorso di debugging che presenta caratteri cinesi. Questo può significare che, nel computer di chiunque abbia sviluppato il malware, fosse installato uno specifico language pack per il cinese (GB2312).

Il trojan-RAT Gh0st viene abitualmente diffuso attraverso mailing di spam condotti “a tappeto”, mediante l’utilizzo di account violati. Nella maggior parte dei casi, il file nocivo allegato al messaggio e-mail presenta nomi particolarmente “accattivanti”, quali Beautiful Girls.exe, Sexy Girls.exe o Gift card.exe. Secondo quanto asseriscono i ricercatori di Palo Alto Networks, gli elementi di ingegneria sociale di cui fanno uso gli spammer si sono rivelati alquanto banali; inoltre, la scelta degli obiettivi da colpire è apparsa più che altro “avventurosa”, non certo specifica e ben mirata. I mailing di massa vengono principalmente condotti tramite e-mail box compromesse, in uso presso provider americani.

“Gli account violati danno l’impressione di essere legittimi; probabilmente, sono stati compromessi dagli stessi autori degli attacchi, – presumono i ricercatori. – In molti casi, le e-mail di phishing vengono inviate in maniera indiscriminata a tutti gli indirizzi di posta elettronica presenti nella rubrica della vittima dell’infezione informatica, compreso gli indirizzi ‘no-reply’, che un operatore umano di sicuro ignorerebbe”. Secondo i dati raccolti da Palo Alto, al momento attuale gli attacchi condotti mediante il malware Piano Gh0st risultano principalmente limitati al territorio degli Stati Uniti.

Fonte: Threatpost

Gli autori dei cyber-attacchi Musical Chairs aggiornano il loro RAT

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox