News

Latentbot, la backdoor che si è nascosta in Rete per ben due anni

I ricercatori di FireEye hanno individuato un nuovo bot modulare, fortemente offuscato, provvisto di specifiche funzionalità di backdoor, il quale “esiste”, in pratica, soltanto nella memoria operativa, ed è in grado di mascherare le tracce lasciate nel sistema.

“Siamo di fronte ad un malware che riesce a non lasciare quasi nessuna traccia in Internet; esso monitora le proprie vittime passando del tutto inosservato, ed è inoltre in grado di danneggiare l’hard disk, elemento senza il quale un PC risulta in sostanza inutile”; – è con queste esatte parole che gli esperti hanno presentato la loro scoperta.

Latentbot – è questo il nome assegnato alla backdoor dagli analisti di FireEye, specializzati in sicurezza IT – è comparso presumibilmente nel Web verso la metà del 2013; esso attacca organizzazioni di vario profilo, in vari paesi. Al momento attuale sono stati rilevati attacchi informatici, condotti con successo da parte del malware Latentbot, nei confronti di società ubicate negli Stati Uniti, in Gran Bretagna, Corea del Sud, Brasile, Emirati Arabi Uniti, Singapore, Canada, Perù e Polonia. Le motivazioni dei malintenzionati non sono per il momento ben chiare; le osservazioni effettuate dagli esperti hanno tuttavia permesso di determinare che gli attacker hanno preso di mira un’ampia serie di obiettivi, riconducibili, in particolar modo, ad organizzazioni operanti nella sfera dei servizi finanziari e nel settore assicurativo.

Secondo i dati raccolti da FireEye, il principale vettore di diffusione della backdoor Latentbot è rappresentato dagli abituali messaggi e-mail di spam provvisti di apposito allegato dannoso. Si tratta, nella fattispecie, di un documento Microsoft Word contenente un exploit creato per mezzo del toolkit nocivo denominato Microsoft Word Intruder (MWI). Attraverso tale exploit viene caricato, sul computer-vittima, il trojan RAT LuminosityLink, in grado di realizzare il furto delle password, registrare le sequenze dei tasti premuti dall’utente, trasferire i file ed attivare il microfono o la webcam. Questo, tuttavia, non è ancora abbastanza per i cybercriminali: il RAT, in effetti, dietro apposito comando provvede ad effettuare il download e l’installazione di Latentbot.

L’installazione del malware in questione, utilizzato per la conduzione di attacchi mirati, è un processo che si svolge in più fasi; nel corso di esso, Latentbot utilizza vari livelli di offuscamento. Una volta completate le procedure di decodifica ed implementazione, il malware provvede ad eliminare accuratamente, dalla memoria, tutte le stringhe che non sono più necessarie. Come hanno dimostrato le analisi condotte, gli autori di Latentbot preferiscono avvalersi di algoritmi e protocolli crittografici personalizzati. È inoltre di particolare interesse il fatto che il bot non viene eseguito su tutti i sistemi, visto che esso non funziona né su Windows Vista, né su Windows Server 2008.

L’infrastruttura C&C di Latentbot risulta collocata su risorse web compromesse, dalle quali esso scarica i relativi plugin: il modulo principale Bot_Engine, il rilevatore di software antivirus, il client RDP, il modulo VNC non standard adibito alla funzione di keylogger, ugualmente in grado di cancellare l’MBR, bloccare il funzionamento del desktop e del mouse; a tali plugin si aggiunge, infine, il temibile stealer di informazioni Pony, orientato, in tal caso, al furto di criptovaluta. L’architettura modulare del malware facilita considerevolmente il relativo processo di aggiornamento.

“Sebbene risulti altamente offuscato, viste le molteplici iniezioni di codice da esso effettuate nei vari processi, il malware Latentbot può essere facilmente individuato in memoria, mediante l’utilizzo di un’apposita soluzione di sicurezza, atta ad analizzarne il comportamento, – concludono gli esperti di FireEye.– Si rivelano ugualmente indispensabili il monitoraggio ed il blocco delle chiamate in uscita, qualora il malware sia riuscito a bypassare i controlli effettuati dal sistema di protezione installato sul computer sottoposto ad attacco”.

Fonte: The Register

Latentbot, la backdoor che si è nascosta in Rete per ben due anni

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox