Malware modulare: il nuovo attacco furtivo che ruba i tuoi dati

modulare-malware

Il malware è disponibile in tutte le forme e dimensioni. Inoltre, la sofisticazione del malware è cresciuta notevolmente nel corso degli anni. Gli aggressori si rendono conto che cercare di adattare ogni aspetto del proprio pacchetto malevolo a un unico carico utile non è sempre il modo più efficiente.

Nel tempo, il malware è diventato modulare. Cioè, alcune varianti di malware possono utilizzare diversi moduli per alterare il modo in cui influiscono su un sistema di destinazione. Quindi, qual è il malware modulare e come funziona?

Cos'è il malware modulare?

Il malware modulare è una minaccia avanzata che attacca un sistema in fasi diverse. Invece di saltare attraverso la porta principale, il malware modulare assume un approccio più sottile.

Lo fa solo installando prima i componenti essenziali. Quindi, invece di provocare una fanfara e avvisare gli utenti della sua presenza, il primo modulo scansiona il sistema e la sicurezza della rete; chi è responsabile, quali protezioni sono in esecuzione, dove il malware può trovare vulnerabilità, quali exploit hanno le migliori possibilità di successo e così via.

Dopo aver scoperto correttamente l'ambiente locale, il modulo malware di prima fase può chiamare a casa il proprio server di comando e controllo (C2). Il C2 può quindi inviare ulteriori istruzioni insieme a moduli di malware aggiuntivi per sfruttare l'ambiente specifico in cui opera il malware.

Il malware modulare presenta numerosi vantaggi rispetto al malware che racchiude tutte le sue funzionalità in un singolo carico utile.

  • L'autore del malware può modificare rapidamente la firma del malware per eludere l'antivirus e altri programmi di sicurezza.
  • Il malware modulare consente un'ampia funzionalità per una varietà di ambienti. In questo modo, gli autori possono reagire a specifici obiettivi o, in alternativa, selezionare specifici moduli da utilizzare in particolari ambienti.
  • I moduli iniziali sono minuscoli e in qualche modo più facili da offuscare.
  • La combinazione di più moduli malware impedisce ai ricercatori della sicurezza di indovinare cosa succederà dopo.

Il malware modulare non è una nuova minaccia improvvisa. Gli sviluppatori di malware hanno fatto un uso efficiente dei programmi di malware modulari per molto tempo. La differenza è che i ricercatori di sicurezza stanno incontrando più malware modulare in una vasta gamma di situazioni. I ricercatori hanno anche avvistato l'enorme botnet Necurs (famigerato per la distribuzione delle varianti di Dridex e Locky ransomware) che distribuiscono payload di malware modulari. ( Cos'è una botnet, comunque? )

Esempi di malware modulari

Esistono alcuni esempi di malware modulari molto interessanti. Qui ci sono alcuni da considerare.

VPNFilter

VPNFilter è una recente variante di malware che attacca i router e i dispositivi Internet of Things (IoT). Il malware funziona in tre fasi.

Il malware di prima fase contatta un server di comando e controllo per scaricare il modulo stage due. Il modulo di seconda fase raccoglie dati, esegue comandi e può interferire con la gestione dei dispositivi (inclusa la capacità di "brick" di un router, IoT o dispositivo NAS). Il secondo stadio può anche scaricare moduli di terzo stadio, che funzionano come plug-in per il secondo stadio. I tre stage stage includono uno sniffer di pacchetto per il traffico SCADA, un modulo di iniezione di pacchetti e un modulo che consente al malware di fase 2 di comunicare utilizzando la rete Tor.

È possibile ottenere ulteriori informazioni su VPNFilter, da dove proviene e su come individuarlo qui.

T9000

I ricercatori di sicurezza di Palo Alto Networks hanno scoperto il malware T9000 (nessuna relazione con Terminator o Skynet … o è così ?!).

T9000 è uno strumento di raccolta dati e intelligence. Una volta installato, T9000 consente a un utente malintenzionato di "acquisire dati crittografati, acquisire schermate di applicazioni specifiche e indirizzare specificamente gli utenti Skype", nonché i file di prodotto di Microsoft Office. T9000 è dotato di diversi moduli progettati per eludere fino a 24 diversi prodotti di sicurezza, alterando il processo di installazione per rimanere sotto il radar.

DanaBot

DanaBot è un Trojan bancario multistadio con diversi plugin che l'autore usa per estendere le sue funzionalità. (Come gestire in modo rapido ed efficace i Trojan di accesso remoto. ) Ad esempio, nel maggio 2018, DanaBot è stato avvistato in una serie di attacchi contro banche australiane. A quel tempo, i ricercatori hanno scoperto un pacchetto sniffing e plug-in per l'iniezione, un plug-in per la visualizzazione remota VNC, un plug-in per la raccolta dei dati e un plugin Tor che consente comunicazioni sicure.

"DanaBot è un trojan bancario, il che significa che è necessariamente geo-mirato a un livello", si legge nel post del blog di Proofpoint DanaBot. "L'adozione da parte di attori di grandi dimensioni, tuttavia, come abbiamo visto nella campagna statunitense, suggerisce lo sviluppo attivo, l'espansione geografica e l'interesse costante degli attori delle minacce nel malware. Lo stesso malware contiene una serie di funzioni anti-analisi, oltre a moduli di controllo remoto e di stealer, aumentando ulteriormente la sua attrattiva e utilità per gli attori delle minacce. "

Marap, AdvisorsBot e CobInt

Sto combinando tre varianti di malware modulari in una sezione mentre i fantastici ricercatori sulla sicurezza di Proofpoint hanno scoperto tutti e tre. Le varianti di malware modulari presentano somiglianze ma hanno usi diversi. Inoltre, CobInt fa parte di una campagna per il Gruppo Cobalt, un'organizzazione criminale legata a una lunga lista di cybercrime bancari e finanziari.

Marap e AdvisorsBot sono stati entrambi individuati nell'individuare i sistemi di destinazione per la difesa e la mappatura della rete, e se il malware dovrebbe scaricare l'intero carico utile. Se il sistema di destinazione è di interesse sufficiente (ad esempio, ha un valore), il malware richiede la seconda fase dell'attacco.

Come altre varianti di malware modulari, Marap, AdvisorsBot e CobInt seguono un flusso in tre fasi. La prima fase è in genere una e-mail con un allegato infetto che porta l'exploit iniziale. Se l'exploit viene eseguito, il malware richiede immediatamente la seconda fase. Il secondo stadio comprende il modulo di ricognizione che valuta le misure di sicurezza e il panorama della rete del sistema di destinazione. Se il malware considera che tutto sia adatto, i download del terzo e ultimo modulo, incluso il carico utile principale.

Proofpoint anale di:

Caos

Mayhem è una variante di malware modulare leggermente più antica, che è venuta alla luce nel 2014. Tuttavia, Mayhem rimane un grande esempio di malware modulare. Il malware, scoperto dai ricercatori di sicurezza di Yandex, è indirizzato ai server Web Linux e Unix. Si installa tramite uno script PHP dannoso.

Una volta installato, lo script può richiamare diversi plug-in che definiscono l'utilizzo finale del malware.

I plug-in includono un cracker per password brute force che indirizza gli account FTP, WordPress e Joomla, un web crawler alla ricerca di altri server vulnerabili e uno strumento che sfrutta la vulnerabilità Heartbleed OpenSLL.

DiamondFox

La nostra variante di malware modulare finale è anche una delle più complete. È anche uno dei più preoccupanti, per un paio di motivi.

Motivo uno: DiamondFox è una botnet modulare in vendita su vari forum sotterranei. Potenziali criminali informatici possono acquistare il pacchetto botnet modulare DiamondFox per accedere a una vasta gamma di funzionalità di attacco avanzate. Lo strumento viene regolarmente aggiornato e, come tutti i buoni servizi online, ha un servizio clienti personalizzato. (Ha persino un registro delle modifiche!)

Motivo due: la botnet modulare DiamondFox viene fornita con una serie di plugin. Questi vengono attivati ​​e disattivati ​​tramite una dashboard che non sarebbe fuori luogo come un'app di casa intelligente. I plugin includono strumenti di spionaggio su misura, strumenti per rubare credenziali, strumenti DDoS, keylogger, mailer di spam e persino un raschietto RAM.

Avvertenza: il seguente video ha musica che potresti apprezzare o meno.

Come fermare un attacco malware Malware

Al momento attuale, nessuno strumento specifico protegge da una specifica variante di malware modulare. Inoltre, alcune varianti di malware modulari hanno un ambito geografico limitato. Ad esempio, Marap, AdvisorsBot e CobInt si trovano principalmente nelle nazioni della Russia e della CSI.

Detto questo, i ricercatori di Proofpoint hanno sottolineato che, nonostante gli attuali limiti geografici, se altri criminali vedono un'organizzazione criminale così consolidata che utilizza malware modulare, altri sicuramente seguiranno l'esempio.

La consapevolezza di come il malware modulare arriva sul tuo sistema è importante. La maggior parte usa allegati e-mail infetti, di solito contenenti un documento di Microsoft Office con uno script VBA dannoso. Gli aggressori usano questo metodo perché è facile inviare e-mail infette a milioni di potenziali bersagli. Inoltre, l'exploit iniziale è minuscolo e facilmente camuffato come un file di Office.

Come sempre, assicurati di mantenere aggiornato il tuo sistema e considera di investire in Malwarebytes Premium: ne vale la pena !

Leggi l'articolo completo: Malware modulare: il nuovo attacco furtivo che ruba i tuoi dati

Fonte: makeuseof.com

Precedente I 4 migliori PC da gioco con meno di $ 500 Successivo 10 modi vitali per Kid-proof Il tuo iPhone o iPad

Rispondi