Gli autori dei cyber-attacchi Musical Chairs aggiornano il loro RAT

Pochi giorni fa, gli esperti di Palo Alto Networks hanno svelato l’esistenza di una nuova cyber-campagna, avviata più di cinque anni fa, in cui viene fatto uso di una nuova variante dell’onnipresente remote administration tool (RAT) denominato Gh0st. La campagna malevola in questione è stata soprannominata Musical Chairs (“sedie musicali”, il tradizionale gioco ad eliminazione basato sul continuo cambio di sedia per coloro che vi partecipano; le sedie disponibili sono sempre una in meno rispetto all’effettivo numero dei giocatori); nel mese di luglio, nell’ambito della suddetta cyber-campagna, ha iniziato ad essere diffusa una nuova variante del malware impiegato, che la società californiana – specializzata in sicurezza IT – ha battezzato con il nome di Piano Gh0st.

I ricercatori fanno notare che il trojan-RAT Gh0st è un malware di origine cinese; esso è noto da tempo e viene spesso utilizzato nelle campagne di spionaggio; il suo codice sorgente ed i relativi builder sono liberamente accessibili in Rete. Da parte sua, la variante Piano – comparsa di recente – costituisce soltanto uno dei derivati della versione 3.6. di Gh0st. Gli autori di Musical Chairs utilizzano un nuovo file wrapper per nascondere il payload nocivo di Piano Gh0st: il malware in causa viene recapitato alla vittima sotto forma di file eseguibile autoestraente (SFW), provvisto di funzionalità di dropper. Il payload viene poi salvato nel sistema come <Piano.dll>; i compiti principali di tale file sono rappresentati dalla decodifica, dal caricamento e dall’avvio della libreria dinamica in esso incorporata (il trojan Gh0stRat). Così come le altre iterazioni di Gh0st 3.6, utilizzate nel quadro della campagna Musical Chairs, anche la variante Piano è in grado di registrare le sequenze dei tasti premuti dall’utente e di assicurare l’accesso da remoto; essa prevede, inoltre, l’utilizzo di connessioni video e audio, nonché la possibilità di gestire i file in qualità di amministratore.

“Le infrastrutture utilizzate nell’ambito di Musical Chairs si rivelano di particolare interesse, in primo luogo per la loro indiscussa longevità, e per l’utilizzo di molteplici server di comando e controllo del malware Gh0st, peraltro collocati sul medesimo host”, – affermano inoltre i ricercatori nel blog di Palo Alto. Le osservazioni effettuate da questi ultimi hanno tuttavia evidenziato come, nel corso degli ultimi due anni, i malintenzionati abbiano utilizzato un unico server C&C per comunicare con il malware attraverso un protocollo TCP personalizzato.

I dati raccolti hanno permesso di determinare che alcuni domini, associati a tale campagna malevola, vengono utilizzati dagli autori di Musical Chairs sin dal 2010. Il dominio più “resistente”, nel quadro delle suddette infrastrutture, risulta correlato ad un server Windows 2003, che fa uso di un indirizzo IP registrato negli USA; ad ogni caso, l’accesso a tale server viene effettuato attraverso un’interfaccia realizzata in lingua cinese. Secondo i dati diffusi da Palo Alto, dal 2013 ad oggi il suddetto server ha ricevuto richieste da almeno 32 diverse varianti di Gh0st.

I ricercatori non hanno esattamente specificato chi potrebbe celarsi dietro al malware Piano Gh0st, ma hanno tuttavia osservato come, all’interno della dll denominata Gh0stRat, sia stato individuato un percorso di debugging che presenta caratteri cinesi. Questo può significare che, nel computer di chiunque abbia sviluppato il malware, fosse installato uno specifico language pack per il cinese (GB2312).

Il trojan-RAT Gh0st viene abitualmente diffuso attraverso mailing di spam condotti “a tappeto”, mediante l’utilizzo di account violati. Nella maggior parte dei casi, il file nocivo allegato al messaggio e-mail presenta nomi particolarmente “accattivanti”, quali Beautiful Girls.exe, Sexy Girls.exe o Gift card.exe. Secondo quanto asseriscono i ricercatori di Palo Alto Networks, gli elementi di ingegneria sociale di cui fanno uso gli spammer si sono rivelati alquanto banali; inoltre, la scelta degli obiettivi da colpire è apparsa più che altro “avventurosa”, non certo specifica e ben mirata. I mailing di massa vengono principalmente condotti tramite e-mail box compromesse, in uso presso provider americani.

“Gli account violati danno l’impressione di essere legittimi; probabilmente, sono stati compromessi dagli stessi autori degli attacchi, – presumono i ricercatori. – In molti casi, le e-mail di phishing vengono inviate in maniera indiscriminata a tutti gli indirizzi di posta elettronica presenti nella rubrica della vittima dell’infezione informatica, compreso gli indirizzi ‘no-reply’, che un operatore umano di sicuro ignorerebbe”. Secondo i dati raccolti da Palo Alto, al momento attuale gli attacchi condotti mediante il malware Piano Gh0st risultano principalmente limitati al territorio degli Stati Uniti.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *