Il gruppo di hacker DeathStalker è un gruppo di malware scoperto di recente che è stato scoperto per infiltrarsi in aziende di piccole e medie imprese in tutto il mondo. La ricerca mostra che il loro obiettivo principale è sugli istituti che operano nel settore finanziario. È emerso per la prima volta alcuni anni fa principalmente come un gruppo di hacker for fire ed è ora diventato un collettivo molto più esperto e pericoloso.
L'esperto DeathStalker Hacking Grou lancia un attacco alle società finanziarie di tutto il mondo
I ricercatori di sicurezza informatica indicano che il gruppo di hacker DeathStalker è il colpevole dietro numerose campagne di attacco ad alto impatto. Sembrano concentrarsi su istituti finanziari attraverso il mondo: i continenti conosciuti che sono stati colpiti finora includono l'Europa, Asia e America Latina. Dal le informazioni disponibili è evidente che hanno utilizzato la loro esperienza accumulata per creare attacchi di hacking di successo.
Quello che sappiamo è che il gruppo è stato contattato da varie parti per condurre intrusioni contro reti target a pagamento. Questi mercenari criminali sono attivi da allora 2018, forse anche 2012 e possono essere collegati ad altri gruppi di hacker. Sono diventati noti alla comunità della sicurezza grazie all'impianto basato su PowerShell che hanno usato chiamato Potere. Viene distribuito principalmente agli obiettivi tramite messaggi di posta elettronica di phishing SPAM che vengono preparati e inviati alla rinfusa. Le vittime riceveranno un file LNK nei contenuti o negli allegati. È camuffato da regolare documento d'ufficio tuttavia, una volta avviato, eseguirà il rispettivo carico utile di alimentazione. Eseguirà un'infiltrazione in più fasi molto complessa sul sistema locale.
L'analisi dei campioni mostra che l'impianto si installerà come un file persistere del virus – -verrà eseguito all'accensione del computer e renderà difficile anche l'accesso alle opzioni di ripristino o seguire le guide di rimozione manuale dell'utente. Includerà anche un file Agente cavallo di Troia che stabilirà una forte connessione a un server controllato dagli hacker e consentirà agli hacker di assumere il controllo delle macchine.
Ciò consente praticamente agli hacker di spiare costantemente le vittime inclusa la possibilità di acquisire automaticamente screenshot dell'attività degli utenti e inviarli alle vittime. Permette anche l'esecuzione di codice arbitrario — questo consente non solo vari tipi di modifiche al sistema, ma anche la capacità di distribuire altro malware.
Durante l'attacco di hacking DeathStalker, l'analisi della sicurezza rivela che gli hacker hanno utilizzato diversi servizi pubblici come risolutori dead drop — utilizzandoli come host di contenuti, gli hacker possono istruire il malware remoto per eseguire comandi o fornire URL per i payload del malware. Sono codificati in messaggi di testo in chiaro come comunicazione ordinaria, ma ogni riga segnala effettivamente un codice nascosto che i virus locali possono capire. È stato rilevato che gli script PowerShell PowerShell utilizzano i seguenti:
Google , Imgur, Reddit, ShockChan, Tumblr, Cinguettio, YouTube e WordPress
Gli esperti ritengono che questo sofisticato strumento di hacking continuerà a essere sviluppato e utilizzato negli attacchi futuri. Tutto ciò mostra che i criminali informatici sono determinati a creare modi complessi per infettare il maggior numero possibile di bersagli.