Le agenzie governative degli Stati Uniti hanno rivelato un nuovo virus proveniente dalla Corea del Nord chiamato malware BLINDINGCAN, classificato come Trojan backdoor. Le autorità americane lo hanno scoperto in una campagna Internet catturata dalla Cybersecurity and Infrastructure Security Agency (CISA) e l'FBI.
Gli hacker della Corea del Nord hanno ideato un nuovo trojan chiamato BLINDINGCAN Malware
Il malware BLINDINGCAN è un'arma pericolosa creata da hacker nordcoreani esperti, questo è secondo una divulgazione pubblica ufficiale pubblicata dalle autorità statunitensi. L'organizzazione americana CERT rivela che la scoperta è stata fatta da agenti dell'FBI e della Cybersecurity and Infrastructure Security Agency (CISA) che stavano rintracciando virus in tutto il mondo.
La divulgazione pubblica si è rivelata essere parte del gruppo sponsorizzato dal governo che ci è noto come Cobra nascosto. Sono un collettivo di alto profilo ed esperto che di solito crea alcuni dei virus informatici più complessi. L'FBI ritiene che stiano utilizzando questo nuovo ceppo di malware in attacchi coordinati contro le reti e questo viene fatto da una vasta rete di server proxy che aiutano a nascondere i tentativi di intrusione.
Il virus è stato rilevato durante uno dei suoi tentativi di intrusione in corso, le agenzie governative americane hanno scoperto che i nordcoreani hanno preso di mira gli appaltatori per farlo raccogliere informazioni sulle principali tecnologie militari ed energetiche.
Per fare questo i criminali hanno ideato un file strategia di phishing che si basa sull'utilizzo di annunci di lavoro falsi che fabbricano quelli pubblicati da appaltatori della difesa. Al loro interno c'è un impianto di virus nascosto che si avvierà automaticamente all'interazione. Inoltre, gli hacker utilizzano una vasta rete mondiale di proxy che rende il monitoraggio molto più difficile.
I file malware che sono collegati a questo attacco sono Microsoft Word .DOCX documento e due rispettive librerie DLL. Includono macro che avvieranno automaticamente la rispettiva procedura di installazione. Il BLINDINGCAN malware quando installato su un dato sistema avvierà un file centro di comando e controllo remoto. Ciò consentirà ai coreani di assumere il controllo dei sistemi e dirottare i dati degli utenti. Il file Trojan stesso si nasconderà nelle cartelle di sistema, il che renderà molto difficile rintracciarlo. Durante l'analisi è emerso che esiste sia a 32 e la versione a 64 bit sviluppata per indirizzare il maggior numero di sistemi possibile. Altre funzionalità del Trojan BLINDINGCAN includono quanto segue:
- Recupero dei dati — Il malware può accedere alle informazioni dell'utente del sistema e interagire con Gestione dischi, uno dei componenti principali del sistema operativo Microsoft Windows. Usando questo il virus può interrogare i componenti hardware installati e controllare lo spazio libero sul computer.
- Controllo di processo — Il motore antivirus principale può essere utilizzato per collegarsi a processi esistenti o crearne di nuovi. Ciò significa che il malware può riservare la propria memoria e creare numerosi thread portando così ad azioni di manipolazione del sistema ancora più complesse.
- Distribuzione dei file — Utilizzando questo malware, gli hacker possono caricare file arbitrari sugli host infetti ed eseguirli. Di conseguenza è possibile avviare ulteriori infezioni.
- Installazione Stealth — Il motore Trojan principale può monitorare i servizi installati e proteggersi dal rilevamento. Smetterà di funzionare e può persino cancellarsi da solo se viene avviata una scansione di sicurezza approfondita.
Ulteriori informazioni su questo malware si trovano nell'avviso pubblico chiamato MAR-10295134-1.v1. Come sempre ci aspettiamo che tali attacchi avanzati di hacking continuino.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: