I ricercatori di sicurezza hanno rilevato una nuova campagna di malware di massa associata al caricatore Manuscrpypt precedentemente noto, che fa parte dell'arsenale del gruppo Lazarus APT. La scoperta arriva dalla Secure List di Kaspersky.
"Curiosamente, il canale di esfiltrazione dei dati del malware utilizza un'implementazione del protocollo KCP che è stato precedentemente visto in natura solo come parte del set di strumenti del gruppo APT41. Abbiamo chiamato il malware appena identificato PseudoManuscrypt,Hanno detto i ricercatori di Secure List.
Che cos'è il malware PseudoManuscrypt??
Il caricatore di malware appena rilevato utilizza un MaaS (il malware-as-a-service) piattaforma per distribuire i suoi payload dannosi negli archivi di programmi di installazione di software piratati. Un modo in cui il malware si distribuisce su un sistema è tramite la nota botnet Glupteba. Poiché sia Glupteba che PseudoManuscrypt si basano su software piratato per propagarsi, i ricercatori ritengono che la campagna non sia mirata ed è piuttosto su larga scala.
Da gennaio 2020 a novembre 10 2021, più di 35,000 istanze del malware sono state bloccate sui computer di tutto il mondo. Va notato che questo tipo di attacco non è tipico del gruppo Lazarus APT, noto soprattutto per i suoi attacchi mirati.
Chi si rivolge? Gli obiettivi del malware PseudoManuscrypt includono un gran numero di organizzazioni industriali e governative, come le imprese del complesso militare-industriale e i laboratori di ricerca, il rapporto disse.
La telemetria rivela che almeno 7.2% di tutte le macchine compromesse dal malware PseudoManuscrypt fanno parte di sistemi di controllo industriale (ICS) che le organizzazioni utilizzano in vari settori, come Ingegneria, Automazione degli edifici, Energia, Produzione, Costruzione, Utilità, e gestione dell'acqua.
Qual è lo scopo di PseudoManuscrypt? Il modulo malware principale sembra essere progettato per funzionalità spyware estese. È in grado di raccogliere dati di connessione VPN, registrazione delle sequenze di tasti, acquisizione di schermate e video, registrazione del suono con il microfono, rubare i dati degli appunti e i dati del registro eventi del sistema operativo, tra gli altri. In poche parole, gli aggressori possono avere il pieno controllo del sistema compromesso.
FinSpy è un altro spyware altamente efficiente
Nel mese di settembre 2021, un altro spyware altamente capace è stato rilevato in natura da Kaspersky. I ricercatori hanno seguito lo sviluppo di FinSpy da allora 2011, con un'inspiegabile diminuzione del suo tasso di rilevamento per Windows in 2018. Questo è quando il team ha iniziato a rilevare installatori sospetti di applicazioni legittime, backdoor con un downloader offuscato relativamente piccolo.
FinSpy è stato descritto come uno spyware altamente modulare, che ha molto lavoro da fare in. Gli attori delle minacce dietro di esso hanno fatto di tutto per renderlo inaccessibile ai ricercatori della sicurezza. Questo sforzo è sia preoccupante che impressionante. La stessa quantità di sforzi è stata messa in ombra, anti-analisi, e il trojan stesso.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: