I criminali informatici sono stati piuttosto attivi nello sviluppo di nuovi il malware campioni e migliorando i loro approcci dannosi. Secondo le statistiche PurpleSec, attività di criminalità informatica in tutto 2021 è stato alzato 600% a causa della pandemia di COVID-19.
Di conseguenza, i ricercatori della sicurezza informatica hanno analizzato alcune novità, pezzi di malware mai visti prima. Abbiamo selezionato 10 nuove minacce con varie capacità che sono state rilevate in natura negli ultimi mesi, mira ad Android, Mac OS, Windows, e Linux:
- Due nuovi caricatori di malware: Wslink e SquirrelWaffle;
- Un rootkit Linux, chiamato FontOnLake/HCRootkit;
- Due trojan bancari Android: GriftHorse ed Ermac;
- Due backdoor sofisticate: FoggyWeb e Solarmarker;
- Il Meri DDoS botnet;
- Il ransomware LockFile che utilizza la crittografia univoca;
- Il rilevato in 2020 XCSSET Malware per Mac, ora aggiornato con nuove funzionalità.
Disclaimer: Le minacce informatiche elencate in questo articolo sono una piccola parte di tutto il malware emerso in 2021. La nostra top 10 selezione di 2021 il malware è un semplice esempio del panorama delle minacce in continua evoluzione.
Wslink Malware Loader
A ottobre è stato scoperto un caricatore di malware precedentemente sconosciuto, 2021. Chiamato Wslink, lo strumento è “semplice ma notevole,"in grado di caricare binari Windows dannosi. Il caricatore è stato utilizzato in attacchi contro l'Europa centrale, Nord America, e il Medio Oriente.
Ciò che è unico in questo caricatore precedentemente non documentato è la sua capacità di funzionare come server ed eseguire moduli ricevuti in memoria. Secondo il rapporto compilato dai ricercatori ESET, anche il vettore di compromesso iniziale è sconosciuto. I ricercatori non sono stati in grado di ottenere nessuno dei moduli che il caricatore dovrebbe ricevere. Nessun codice, funzionalità o somiglianze operative suggeriscono che il caricatore è stato codificato da un noto attore di minacce.
Caricatore di malware SquirrelWaffle
Un altro caricatore di malware è emerso a ottobre 2021, con il potenziale per diventare "la prossima grande cosa" nelle operazioni di spam. Soprannominato ScoiattoloWaffle, la minaccia è "mal-spamming" di documenti di Microsoft Office dannosi. L'obiettivo finale della campagna è fornire il noto malware Qakbot, così come Cobalt Strike. Questi sono due dei colpevoli più comuni utilizzati per prendere di mira le organizzazioni in tutto il mondo.
Secondo i ricercatori di Cisco Talos Edmund Brumaghin, Mariano Graziano e Nick Mavis, "SquirrelWaffle fornisce agli attori delle minacce un punto d'appoggio iniziale sui sistemi e sui loro ambienti di rete." Questo punto d'appoggio può essere successivamente utilizzato per facilitare ulteriori compromissioni e infezioni da malware, a seconda delle preferenze di monetizzazione degli hacker.
“Le organizzazioni dovrebbero essere consapevoli di questa minaccia, poiché probabilmente persisterà nel panorama delle minacce per il prossimo futuro,”I ricercatori hanno detto. Una precedente minaccia dello stesso calibro è Emotet, che affligge le organizzazioni da anni. Poiché le operazioni di Emotet sono state interrotte dalle forze dell'ordine, i ricercatori della sicurezza hanno aspettato l'ascesa di un nuovo giocatore simile. E ha…
FontOnLake/HCRootkit Linux Rootkit
FontOnLake / HCRootkit è una nuova, famiglia di malware mai vista prima che prende di mira i sistemi Linux. Soprannominato FontOnLake dai ricercatori ESET, e HCRootkit di Avast e Lacework, il malware ha capacità di rootkit, design avanzato e bassa prevalenza, suggerendo che è principalmente pensato per attacchi mirati.
Secondo i ricercatori, il rootkit FontOnLake viene continuamente aggiornato con nuove funzionalità, nel senso che è in attivo sviluppo, ed è altamente probabile che continuerà ad essere utilizzato in 2022. I campioni VirusTotal del malware rivelano che il suo primo utilizzo in natura risale a maggio 2020. Sembra che il malware prenda di mira entità nel sud-est asiatico, ma altre regioni potrebbero presto essere aggiunte alla sua lista di obiettivi.
Il malware garantisce l'accesso remoto ai suoi operatori, e potrebbe essere utilizzato per la raccolta delle credenziali e come server proxy.
Trojan per Android GriftHorse
Un nefasto trojan Android, detto GraftHorse e nascosto in un'aggressiva campagna di servizi premium mobile ha rubato centinaia di milioni di euro. La scoperta arriva dai ricercatori di Zimperium zLabs che hanno scoperto che il trojan ha utilizzato applicazioni Android dannose per sfruttare le interazioni dell'utente per una più ampia diffusione e infezione.
"Queste applicazioni Android dannose sembrano innocue quando si guarda la descrizione del negozio e le autorizzazioni richieste, ma questo falso senso di fiducia cambia quando gli utenti vengono addebitati mese dopo mese per il servizio premium a cui sono abbonati a loro insaputa e senza il loro consenso,"Il rapporto ha rivelato.
Le prove forensi indicano che l'attore di minacce GriftHorse gestisce le sue operazioni da novembre 2020. Non sorprende, le app Android dannose coinvolte sono state distribuite tramite Google Play, ma sono stati sfruttati anche gli app store di terze parti. A seguito di una divulgazione a Google, la società ha rimosso le app dannose dal Play Store. La cattiva notizia è che le app erano ancora disponibili per il download su repository di app di terze parti al momento del rapporto originale (Settembre 2021).
Ermac Android Trojan
ERMAC è un altro, Trojan bancario Android precedentemente non rilevato rilevato a settembre 2021. Il malware sembra essere stato coniato dai cybercriminali BlackRock e si basa sulle radici del famigerato Cerberus.
“Se indaghiamo ERMAC, possiamo scoprire che ERMAC è un erede a livello di codice di un noto malware Cerberus. Utilizza strutture di dati quasi identiche quando comunica con il C2, usa gli stessi dati di stringa, eccetera,"ha detto ThreatFabric. La prima impressione dei ricercatori è stata che il nuovo Trojan sia un'altra variante di Cerberus. Nonostante abbia un nome diverso e utilizzi diverse tecniche di offuscamento e una nuova crittografia delle stringhe, ERMAC è un altro trojan basato su Cerberus.
La differenza con il Cerberus originale è che ERMAC utilizza un altro schema di crittografia quando comunica con il server di comando e controllo. I dati sono crittografati con AES-128-CBC, e preceduto da una doppia parola contenente la lunghezza dei dati codificati, dice il rapporto.
Una connessione definitiva con gli operatori di malware BlackRock è l'utilizzo dello stesso indirizzo IP come comando e controllo.
Backdoor post-sfruttamento di FoggyWeb
Una nuova backdoor allo stato brado attribuita all'attore della minaccia NOBELIUM, creduto di essere dietro la backdoor di SUNBURST, TEARDROP malware, e “componenti correlati”.
Secondo Microsoft Threat Intelligence Center (MTIC), il cosidetto FoggyWeb è una backdoor post-sfruttamento. L'attore delle minacce NOBELIUM utilizza più tecniche per eseguire il furto di credenziali. Il suo obiettivo attuale è ottenere l'accesso a livello di amministratore ad Active Directory Federation Services (AD FS) server.
La backdoor è anche descritta come "passiva" e "altamente mirata",” con sofisticate capacità di esfiltrazione dei dati. “Può anche ricevere componenti dannosi aggiuntivi da un comando e controllo (C2) server ed eseguirli sul server compromesso,” hanno aggiunto i ricercatori. È anche interessante notare che il malware opera consentendo l'abuso del Security Assertion Markup Language (SAML) token in ADFS.
"La protezione dei server AD FS è la chiave per mitigare gli attacchi NOBELIUM. Rilevamento e blocco di malware, attività dell'attaccante, e altri artefatti dannosi sui server ADFS possono interrompere passaggi critici nelle catene di attacco NOBELIUM note,"Microsoft ha concluso.
Backdoor marcatore solare
Solarmarker è una backdoor e un keylogger altamente modulare con un multistadio, caricatore PowerShell fortemente offuscato che esegue la backdoor .NET.
Marcatori solari le attività sono state osservate indipendentemente dai ricercatori di Crowdstrike e Cisco Talos. Entrambe le società hanno rilevato Solarmarker l'anno scorso, in ottobre e settembre, rispettivamente. Tuttavia, Talos afferma che alcuni dati di telemetria DNS puntano addirittura ad aprile 2020. Questo è quando i ricercatori hanno scoperto tre componenti DLL principali e più varianti che presentano comportamenti simili.
"La campagna in corso di Solarmarker e la famiglia di malware associata sono preoccupanti. Inizialmente era in grado di funzionare ed evolversi per un periodo di tempo significativo pur rimanendo relativamente inosservato,” notano i ricercatori in conclusione. Si aspettano inoltre di vedere ulteriori azioni e sviluppi da parte degli autori di Solarmarker che probabilmente includeranno nuove tattiche e procedure per il malware.
Meris DDoS Botnet
A fine giugno, 2021, i ricercatori della sicurezza dell'azienda russa Qrator hanno iniziato a osservare "una botnet di un nuovo tipo". È seguita una ricerca congiunta con Yandex per scoprire di più su questa nuova minaccia DDoS "che emerge quasi in tempo reale".
Un bel sostanzioso, forza d'attacco in costante crescita, come ha detto Qrator, è stato scoperto sotto forma di decine di migliaia di dispositivi host. La botnet è stata soprannominata Meris, che significa peste in lettone.
"Separatamente, Qrator Labs ha visto il 30 000 ospitare i dispositivi in numero effettivo attraverso diversi attacchi, e Yandex hanno raccolto i dati su 56 000 attaccare i padroni di casa,"secondo il rapporto ufficiale. Questo numero è molto probabilmente anche più alto, raggiungendo 200,000. È interessante notare che i dispositivi di questa botnet sono altamente capaci e non sono i dispositivi statisticamente medi collegati tramite Ethernet.
Il Nuovo Mirai?
“Alcune persone e organizzazioni hanno già definito la botnet “un ritorno di Mirai”, che non pensiamo sia esatto,” ha osservato Qrator. Dal momento che i ricercatori non hanno visto il codice dannoso dietro questa nuova botnet, non possono dire con certezza se sia in qualche modo correlato a Mirai. Tuttavia, poiché i dispositivi che unisce provengono da un solo produttore, Mikrotek, è più probabile che la botnet Meris non abbia nulla a che fare con Mirai.
LockFile ransomware
Il LockFile ransomware emerso a luglio 2021. Il ransomware ha sfruttato le vulnerabilità di ProxyShell nei server Microsoft Exchange nei suoi attacchi. I difetti sono schierati "per violare obiettivi senza patch, server Microsoft Exchange locali, seguito da un attacco relay NTLM PetitPotam per prendere il controllo del dominio,” secondo Mark Loman di Sophos.
Ciò che è più notevole di questo ransomware, tuttavia, è la sua crittografia. Finora la crittografia intermittente non è stata utilizzata da alcun ransomware noto, ed è stato scelto dagli attori della minaccia per scopi di evasione.
Come funziona la crittografia intermittente?? Il criptovirus crittografa ogni 16 byte di un file nel tentativo di eludere il rilevamento da parte delle soluzioni di protezione ransomware. Apparentemente, un documento crittografato in questo modo sembra molto simile all'originale crittografato.
L'evasione è possibile nei casi in cui gli strumenti anti-ransomware utilizzano il cosiddetto “chi-squared (chi^2)"analisi", alterando il modo statistico in cui viene eseguita questa analisi e quindi confondendola.
È anche interessante notare che il ransomware non ha bisogno di connettersi a un server di comando e controllo, rendendo il suo comportamento sotto il radar ancora più sofisticato, il che significa che può crittografare i dati su macchine che non hanno accesso a Internet.
XCSSET Malware per Mac
A marzo, 2021, I ricercatori di Sentinel Labs sono venuti a conoscenza di un progetto Xcode sottoposto a trojan destinato agli sviluppatori iOS. Il progetto era una versione dannosa di un file legittimo, progetto open-source disponibile su GitHub, consentendo ai programmatori iOS di utilizzare diverse funzionalità avanzate per animare la barra delle schede iOS.
Una campagna simile è stata rilevata ad aprile, prendendo di mira gli sviluppatori Xcode, dotato di Mac con i nuovi chip M1 di Apple. Il malware è anche in grado di rubare informazioni sensibili dalle applicazioni di criptovaluta.
Va notato che il cosiddetto XCSSET malware è stato scoperto per la prima volta in agosto, 2020, quando si stava diffondendo tramite progetti IDE Xcode modificati. Il malware di solito agisce riconfezionando i moduli di payload in modo che appaiano come app Mac legittime, che finiscono per infettare i progetti Xcode locali.
I moduli del malware includono il furto di credenziali, cattura di screenshot, iniettando JavaScript dannoso nei siti web, rubare i dati delle app, e in alcuni casi, anche capacità di ransomware.
Le varianti XCSSET più recenti sono compilate appositamente per i chip Apple M1. Questo è un chiaro segno che gli operatori di malware stanno adattando il loro malware alle ultime tecnologie Apple.
Insomma…
Tutti i casi di malware sopra descritti illustrano l'importanza di una protezione adeguata, prevenzione ed ottime abitudini igieniche online. In questi tempi difficili, non dimentichiamoci quanto sia fondamentale pensare alla nostra sicurezza online, troppo.
PS: Se hai trovato utile questo articolo, assicurarsi di leggere:
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: