Latentbot, la backdoor che si è nascosta in Rete per ben due anni

I ricercatori di FireEye hanno individuato un nuovo bot modulare, fortemente offuscato, provvisto di specifiche funzionalità di backdoor, il quale “esiste”, in pratica, soltanto nella memoria operativa, ed è in grado di mascherare le tracce lasciate nel sistema.

“Siamo di fronte ad un malware che riesce a non lasciare quasi nessuna traccia in Internet; esso monitora le proprie vittime passando del tutto inosservato, ed è inoltre in grado di danneggiare l’hard disk, elemento senza il quale un PC risulta in sostanza inutile”; – è con queste esatte parole che gli esperti hanno presentato la loro scoperta.

Latentbot – è questo il nome assegnato alla backdoor dagli analisti di FireEye, specializzati in sicurezza IT – è comparso presumibilmente nel Web verso la metà del 2013; esso attacca organizzazioni di vario profilo, in vari paesi. Al momento attuale sono stati rilevati attacchi informatici, condotti con successo da parte del malware Latentbot, nei confronti di società ubicate negli Stati Uniti, in Gran Bretagna, Corea del Sud, Brasile, Emirati Arabi Uniti, Singapore, Canada, Perù e Polonia. Le motivazioni dei malintenzionati non sono per il momento ben chiare; le osservazioni effettuate dagli esperti hanno tuttavia permesso di determinare che gli attacker hanno preso di mira un’ampia serie di obiettivi, riconducibili, in particolar modo, ad organizzazioni operanti nella sfera dei servizi finanziari e nel settore assicurativo.

Secondo i dati raccolti da FireEye, il principale vettore di diffusione della backdoor Latentbot è rappresentato dagli abituali messaggi e-mail di spam provvisti di apposito allegato dannoso. Si tratta, nella fattispecie, di un documento Microsoft Word contenente un exploit creato per mezzo del toolkit nocivo denominato Microsoft Word Intruder (MWI). Attraverso tale exploit viene caricato, sul computer-vittima, il trojan RAT LuminosityLink, in grado di realizzare il furto delle password, registrare le sequenze dei tasti premuti dall’utente, trasferire i file ed attivare il microfono o la webcam. Questo, tuttavia, non è ancora abbastanza per i cybercriminali: il RAT, in effetti, dietro apposito comando provvede ad effettuare il download e l’installazione di Latentbot.

L’installazione del malware in questione, utilizzato per la conduzione di attacchi mirati, è un processo che si svolge in più fasi; nel corso di esso, Latentbot utilizza vari livelli di offuscamento. Una volta completate le procedure di decodifica ed implementazione, il malware provvede ad eliminare accuratamente, dalla memoria, tutte le stringhe che non sono più necessarie. Come hanno dimostrato le analisi condotte, gli autori di Latentbot preferiscono avvalersi di algoritmi e protocolli crittografici personalizzati. È inoltre di particolare interesse il fatto che il bot non viene eseguito su tutti i sistemi, visto che esso non funziona né su Windows Vista, né su Windows Server 2008.

L’infrastruttura C&C di Latentbot risulta collocata su risorse web compromesse, dalle quali esso scarica i relativi plugin: il modulo principale Bot_Engine, il rilevatore di software antivirus, il client RDP, il modulo VNC non standard adibito alla funzione di keylogger, ugualmente in grado di cancellare l’MBR, bloccare il funzionamento del desktop e del mouse; a tali plugin si aggiunge, infine, il temibile stealer di informazioni Pony, orientato, in tal caso, al furto di criptovaluta. L’architettura modulare del malware facilita considerevolmente il relativo processo di aggiornamento.

“Sebbene risulti altamente offuscato, viste le molteplici iniezioni di codice da esso effettuate nei vari processi, il malware Latentbot può essere facilmente individuato in memoria, mediante l’utilizzo di un’apposita soluzione di sicurezza, atta ad analizzarne il comportamento, – concludono gli esperti di FireEye.– Si rivelano ugualmente indispensabili il monitoraggio ed il blocco delle chiamate in uscita, qualora il malware sia riuscito a bypassare i controlli effettuati dal sistema di protezione installato sul computer sottoposto ad attacco”.

Fonte: The Register

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *