Aggiornamenti recenti Settembre 18th, 2025 4:37 PM
Lug 20, 2017 Marco Schiaffino Attacchi, Hacking, Malware, News, RSS 4
Il gruppo DarkHotel fa parte di quella “elite” tra i pirati informatici che viene associata al concetto di APT (Advanced Persistent Threat) che di solito indica le campagne di spionaggio collegate all’attività di servizi segreti od organizzazioni di alto livello.
Come spiegano i ricercatori di BitDefender, i DarkHotel sono una vecchia conoscenza degli esperti di sicurezza e sarebbero attivi nel settore del cyber-spionaggio da quasi 10 anni.
Di solito i pirati prediligono colpire sfruttando reti Wi-Fi negli alberghi, utilizzando exploit zero-day per compromettere i dispositivi delle loro vittime e garantirsi l’accesso a tutte le informazioni che possono ritenere utili.
Secondo quanto riportato dai ricercatori BitDefender, però, il gruppo avrebbe adesso cambiato strategia e ora starebbe sfruttando semplici tecniche di ingegneria sociale, usando però un trojan decisamente complesso che gli analisti descrivono nel dettaglio in questo report.
Il loro obiettivo sarebbe quello di agire in maniera più prudente, evitando che i loro attacchi possano essere individuati e analizzati dalle società di sicurezza.
Il vettore di attacco adottato in questa nuova campagna è una semplice email con allegato un file (winword.exe) che è in realtà un archivio auto-estraente RAR SFX il cui contenuto è crittografato con un algoritmo XOR.
Nulla di particolarmente complesso, almeno fino a quando non viene eseguito. All’avvio, infatti, il malware visualizza un documento di Word per non suscitare sospetti nella potenziale vittima. Si tratta di un file di testo con i contatti di alcune organizzazioni internazionali con sede in Corea del Nord.
Mentre sullo schermo compare il documento, però, il malware esegue un primo controllo per verificare se viene eseguito da una cartella specifica (WinStartupDir) e, solo nel caso in cui l’esito del controllo è positivo, procede con la sua attività contattando per prima cosa il server Command and Control.
Ed è qui che le cose si fanno davvero complicate. Prima di contattare il server, il trojan crea un file che contiene le informazioni sul computer infetto. Procede poi a decrittare l’indirizzo Internet del server e utilizza una serie di accorgimenti per camuffare le comunicazioni in modo che sembrino innocue trasmissioni http.
Lo schema riassume i controlli e le comunicazioni tra il vettore inziale di attacco e il server Command and Control prima che venga dato l’avvio all’installazione del trojan.
A questo punto le informazioni sul computer infetto vengono trasmesse al server C&C e il malware rimane in attesa di una risposta. Secondo i ricercatori di Bitdefender, questo passaggio sarebbe una sorta di verifica per capire se il dispositivo colpito sia quello giusto.
Se il PC compromesso è di qualche interesse, l’attacco procede. In caso contrario il trojan si cancella automaticamente e l’attacco viene terminato in modo che il malware non sia individuato.
Nel caso in cui l’attacco procede, il passo successivo prevede il download e la decodifica di un secondo modulo del malware, che viene camuffato in modo da apparire come un componente della libreria OpenSSL.
Dopo una serie di ulteriori controlli sull’ambiente in cui è in esecuzione, il trojan avvia il download di un ulteriore modulo che contiene il payload vero e proprio, che secondo gli analisti è estremamente simile a quelli già usati in passato dal gruppo DarkHotel.
Set 16, 2025 0
Lug 22, 2025 0
Apr 24, 2025 0
Dic 02, 2024 0
Set 18, 2025 0
Set 17, 2025 0
Set 15, 2025 0
Set 15, 2025 0
Devi essere connesso per inviare un commento.
Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 18, 2025 0
A un anno dall’annuncio della partnership, Cohesity e...Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 16, 2025 0
I ricercatori della compagnia di sicurezza Socket hanno...Set 15, 2025 0
La nuova squadra italiana per le competizioni di...Set 15, 2025 0
La scorsa settimana il CERT-AGID ha identificato e...
Ciao,
risulta questo link
in questo report.
Saluti.
Errore mio, ho corretto il link. Grazie per la segnalazione.
“file:///C:/Users/Marco/Desktop/Bitdefender-Whitepaper-Inexsmar-A4-en-EN.pdf”