Aggiornamenti recenti Maggio 3rd, 2024 2:00 PM
Feb 28, 2017 Marco Schiaffino Malware, News, RSS 0
Il mercato nero degli strumenti per i cyber-criminali somiglia sempre di più a quello dei software legittimi, con tanto di “furbetti” che cercano di ottenere i programmi senza pagare.
È quello che è successo con un toolkit per la creazione di Betabot, un trojan ben conosciuto che è arrivato alla versione 1.7 e viene spesso utilizzato per diffondere, in una seconda fase, altro malware.
Betabot, in particolare, integra degli strumenti crittografici di offuscamento molto efficaci, che rendono estremamente difficile individuare i collegamenti con i server Command and Control (C&C). L’interfaccia di controllo, inoltre, è molto facile da usare e apprezzata dai cyber-criminali di tutto il mondo.
Il software viene venduto sul mercato nero e, per garantirsi che nessuno possa usarlo gratuitamente, i suoi autori hanno utilizzato delle tecniche di “protezione” per il loro toolkit, proprio come fanno le aziende di software per evitare la circolazione di copie pirata dei loro programmi.
Qualcuno, però, è riuscito ad aggirare queste protezioni e creare una versione personalizzata del toolkit. Una copia della versione cracckata del software è finita tra le mani Tad Heppner, un ricercatore di Sophos che ha potuto così studiarne le caratteristiche.
Come spiega Heppner nel suo lungo e dettagliato report, la tecnica utilizzata dagli autori di Betabot per impedire ad altri cyber-criminali di usare il toolkit “a scrocco” punta tutto su un complicato sistema di codifica delle impostazioni riguardanti i server C&C con i quali il malware comunica una volta installato sui computer infetti.
Il “Betabot Builder” scovato da Heppner sfrutta il codice originale di Betabot, ma permette di impostare una configurazione personalizzata dei server C&C, creando anche le chiavi crittografiche che proteggono le comunicazioni con i server.
Analizzando il toolkit, però, il ricercatore di Sophos ha potuto mettere a nudo numerose tecniche utilizzate dal malware per coprire le sue tracce e, in particolare, impedire di estrarre i dati di configurazione che permetterebbero di individuare i server C&C. Tutte informazioni che sono estremamente utili per individuare i cyber-criminali che lo controllano.
Mar 14, 2024 0
Mar 01, 2024 0
Feb 22, 2024 0
Feb 15, 2024 0
Mag 03, 2024 0
Mag 03, 2024 0
Mag 02, 2024 0
Mag 02, 2024 0
Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 03, 2024 0
Zscaler ha annunciato l’acquisizione di Airgap...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Mag 02, 2024 0
Il Dipartimento della sicurezza interna degli Stati Uniti...Mag 02, 2024 0
L’ultimo aggiornamento di sicurezza per Windows 11...Apr 30, 2024 0
Nell’ultimo mese Okta ha osservato un preoccupante...