Aggiornamenti recenti Giugno 28th, 2022 10:55 AM
Lug 20, 2017 Marco Schiaffino Attacchi, Hacking, Malware, News, RSS 4
Il gruppo DarkHotel fa parte di quella “elite” tra i pirati informatici che viene associata al concetto di APT (Advanced Persistent Threat) che di solito indica le campagne di spionaggio collegate all’attività di servizi segreti od organizzazioni di alto livello.
Come spiegano i ricercatori di BitDefender, i DarkHotel sono una vecchia conoscenza degli esperti di sicurezza e sarebbero attivi nel settore del cyber-spionaggio da quasi 10 anni.
Di solito i pirati prediligono colpire sfruttando reti Wi-Fi negli alberghi, utilizzando exploit zero-day per compromettere i dispositivi delle loro vittime e garantirsi l’accesso a tutte le informazioni che possono ritenere utili.
Secondo quanto riportato dai ricercatori BitDefender, però, il gruppo avrebbe adesso cambiato strategia e ora starebbe sfruttando semplici tecniche di ingegneria sociale, usando però un trojan decisamente complesso che gli analisti descrivono nel dettaglio in questo report.
Il loro obiettivo sarebbe quello di agire in maniera più prudente, evitando che i loro attacchi possano essere individuati e analizzati dalle società di sicurezza.
Il vettore di attacco adottato in questa nuova campagna è una semplice email con allegato un file (winword.exe) che è in realtà un archivio auto-estraente RAR SFX il cui contenuto è crittografato con un algoritmo XOR.
Nulla di particolarmente complesso, almeno fino a quando non viene eseguito. All’avvio, infatti, il malware visualizza un documento di Word per non suscitare sospetti nella potenziale vittima. Si tratta di un file di testo con i contatti di alcune organizzazioni internazionali con sede in Corea del Nord.
Mentre sullo schermo compare il documento, però, il malware esegue un primo controllo per verificare se viene eseguito da una cartella specifica (WinStartupDir) e, solo nel caso in cui l’esito del controllo è positivo, procede con la sua attività contattando per prima cosa il server Command and Control.
Ed è qui che le cose si fanno davvero complicate. Prima di contattare il server, il trojan crea un file che contiene le informazioni sul computer infetto. Procede poi a decrittare l’indirizzo Internet del server e utilizza una serie di accorgimenti per camuffare le comunicazioni in modo che sembrino innocue trasmissioni http.
Lo schema riassume i controlli e le comunicazioni tra il vettore inziale di attacco e il server Command and Control prima che venga dato l’avvio all’installazione del trojan.
A questo punto le informazioni sul computer infetto vengono trasmesse al server C&C e il malware rimane in attesa di una risposta. Secondo i ricercatori di Bitdefender, questo passaggio sarebbe una sorta di verifica per capire se il dispositivo colpito sia quello giusto.
Se il PC compromesso è di qualche interesse, l’attacco procede. In caso contrario il trojan si cancella automaticamente e l’attacco viene terminato in modo che il malware non sia individuato.
Nel caso in cui l’attacco procede, il passo successivo prevede il download e la decodifica di un secondo modulo del malware, che viene camuffato in modo da apparire come un componente della libreria OpenSSL.
Dopo una serie di ulteriori controlli sull’ambiente in cui è in esecuzione, il trojan avvia il download di un ulteriore modulo che contiene il payload vero e proprio, che secondo gli analisti è estremamente simile a quelli già usati in passato dal gruppo DarkHotel.
Mar 21, 2022 0
Feb 18, 2022 0
Feb 14, 2022 0
Ago 06, 2021 0
Giu 28, 2022 0
Giu 27, 2022 0
Giu 27, 2022 0
Giu 27, 2022 0
Devi essere connesso per inviare un commento.
Mar 11, 2022 0
Il ransomware è un flagello che sta colpendo le aziende di...Mar 10, 2022 0
Il ransomware è una tipologia d’attacco di cui...Mar 09, 2022 0
Non c’è quasi utente di computer che non abbia sentito...Mar 08, 2022 0
Il ransomware è una vera e propria piaga...Ott 22, 2021 0
Il ruolo dei sistemi di tracciamento delle attività...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Giu 28, 2022 0
Il National Institute of Standards and Technology (NIST)...Giu 27, 2022 0
Una ricerca indica che l’APT Bronze Starlight, legato...Giu 27, 2022 0
Una nuova tecnica di phishing può sfruttare le...Giu 27, 2022 0
Microsoft Italia ha lanciato un piano di training e...Giu 24, 2022 0
Uno studio di Kasperski ha analizzato come e a che...Una ricerca indica che l’APT Bronze Starlight, legato alla Cina,... Continua →
Ciao,
risulta questo link
in questo report.
Saluti.
Errore mio, ho corretto il link. Grazie per la segnalazione.
“file:///C:/Users/Marco/Desktop/Bitdefender-Whitepaper-Inexsmar-A4-en-EN.pdf”