Aggiornamenti recenti Maggio 3rd, 2024 10:23 AM
Ott 04, 2019 Marco Schiaffino Attacchi, Malware, News, RSS 0
Quando analizzano un malware, di solito i ricercatori di sicurezza non impiegano molto tempo per comprendere quali siano gli obiettivi e le strategie adottati dai pirati informatici, anche quando le tecniche utilizzate sono completamente nuove.
Nel caso dei nuovi attacchi di Turla (un gruppo di cyber-criminali russi di cui abbiamo parlato già in passato) i ricercatori di Kaspersky sono rimasti piuttosto perplessi.
Come si legge nel report pubblicato oggi dalla società di sicurezza sul suo blog ufficiale, i pirati russi stanno utilizzando un trojan che ha delle funzionalità piuttosto bizzarre.
Si chiama Reductor e fa tutto quello che ci si può aspettare che faccia un trojan: furto di dati e intercettazione dei dati inviati e ricevuti dal computer infetto.
Il malware, però, esegue anche delle operazioni aggiuntive che, a prima vista, sembrano decisamente “ridondanti” e che mirano a gettare le basi per eseguire un’intercettazione del traffico Internet dall’esterno.
Reductor, infatti, aggiunge un certificato digitale sui browser installati e avvia un “aggiornamento” di Chrome e Firefox per fare in modo che il traffico sia identificabile.
Quest’ultimo obiettivo viene raggiunto inserendo una sorta di “marcatore” che si attiva al momento dell’handshacke nella connessione TLS. Reductor interviene infatti sul sistema di PRNG (pseudo-random number generation), cioè la funzione che genera valori numerici casuali al momento della connessione HTTPS.
Lo stratagemma, in pratica, inserisce un codice di riconoscimento elaborato attraverso le caratteristiche hardware e software della macchina infetta, “marchiando” così ogni connessione.
L’obiettivo dei pirati, in definitiva, sembra essere quello di gettare le basi per poter intercettare il traffico attraverso un attacco Man in The Middle che verrebbe portato in seguito.
Le perplessità derivano dal fatto che, avendo già installato un trojan sul computer, questo tipo di stratagemma sembra decisamente inutile. L’unica spiegazione logica è che l’operazione voglia garantire la possibilità di intercettare il traffico del PC compromesso anche nel caso in cui il trojan dovesse essere rimosso.
Non solo: per poter sniffare il traffico Internet, i pirati dovrebbero avere una qualche via di accesso. Su questo punto i ricercatori di Kaspersky, però, ritengono di poter avere pochi dubbi.
Stando al report, infatti, Reductor viene distribuito all’interno di software piratati apparentemente “innocui” (per quanto lo possa essere una versione pirata di un programma commerciale) scaricati da siti che si collocano sul confine tra legalità e illegalità.
Dalle indagini condotte dagli analisti, i siti in questione non hanno subito compromissioni (gli installer sui loro server non contengono il trojan) e, di conseguenza, l’infezione dovrebbe avvenire attraverso la sostituzione del file in fase di trasferimento dal sito al computer.
Insomma: l’ipotesi è che i pirati abbiano compromesso un Internet Service Provider e stiano sfruttando questa posizione privilegiata non solo per diffondere il trojan, ma anche per intercettare il traffico dei computer compromessi attraverso il marcatore che inseriscono con la “contaminazione” del PRNG.
Qualcosa che ci si può aspettare tranquillamente dal gruppo Turla, che in passato ha già dimostrato di essere anni luce avanti rispetto ai normali “colleghi” del settore e avere un particolare feeling con le tecniche di compromissione dei sistemi di comunicazione.
Apr 24, 2024 0
Apr 23, 2024 0
Apr 16, 2024 0
Apr 12, 2024 0
Mag 03, 2024 0
Mag 02, 2024 0
Mag 02, 2024 0
Apr 30, 2024 0
Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Mag 02, 2024 0
Il Dipartimento della sicurezza interna degli Stati Uniti...Mag 02, 2024 0
L’ultimo aggiornamento di sicurezza per Windows 11...Apr 30, 2024 0
Nell’ultimo mese Okta ha osservato un preoccupante...Apr 29, 2024 0
Nel periodo compreso tra il 20 e il 26 aprile,...