Kaspersky rileva nuovo spyware che prende di mira gli enti diplomatici

Nel novembre 2019, le tecnologie di Kaspersky hanno rilevato un nuovo malware rivolto agli enti diplomatici in Europa, veicolato attraverso un dropper contenuto in un modulo contraffatto per la richiesta di un visto. Ulteriori analisi hanno suggerito agli esperti che questo spyware utilizza lo stesso codice sorgente del famigerato COMPFun.
Lo spyware viene diffuso attraverso i dispositivi delle vittime per raccogliere informazioni sensibili e trasmetterle agli autori della minaccia. Questo spyware viene ampiamente utilizzato da varie APT e la sua pericolosità è proporzionata alla tipologia di vittima a cui è destinato: sia che si tratti di servizi governativi o di infrastrutture critiche, le informazioni raccolte potrebbero avere un valore enorme per i criminali informatici e provocare danni ingenti ai settori colpiti.
Il codice del malware rilevato presenta forti analogie con quello di COMPFun, che gli esperti avevano osservato per la prima volta nel 2014. Nel 2019 è stato rilevato Reductor, un malware identificato come il successore di COMPfun. Le funzioni del nuovo Trojan includono la possibilità di geolocalizzare la vittima, raccogliere i dati di host e reti e fare keylogging e screenshot. Secondo gli esperti di Kaspersky, si tratta a tutti gli effetti di un trojan capace di propagarsi anche su dispositivi rimovibili. Il dropper nella fase iniziale, viene scaricato dalla rete locale condivisa e rinominato con lo stesso nome del file relativo al processo di richiesta di visto, nome che corrisponde a quello dell’ente diplomatico oggetto dell’attacco. La richiesta di visto legittima viene criptata all’interno del dropper, insieme al malware della fase successiva a 32 e 64 bit.
Basandosi sull’analisi delle vittime, Kaspersky ritiene che il malware originale COMPfun possa essere associato quasi sicuramente all’APT Turla.
“Poiché il vettore iniziale d’infezione si era dimostrato valido, gli sviluppatori del malware hanno continuato a rivolgere la loro attenzione alle entità diplomatiche utilizzando ancora una volta la richiesta di visto, memorizzata in una directory condivisa all’interno della rete locale, come veicolo dell’infezione. L’approccio personalizzato sulla base degli obiettivi, insieme alla capacità di generare ed eseguire le proprie strategie, hanno contribuito a rendere gli sviluppatori di COMPFun una minaccia molto pericolosa”, ha dichiarato Kurt Baumgartner, principal security researcher di Kaspersky.
⦁ Per proteggere le organizzazioni da minacce come COMPfun, Kaspersky raccomanda di:
⦁ Eseguire regolari audit di sicurezza dell’infrastruttura IT dell’organizzazione.
⦁ Utilizzare una soluzione di sicurezza affidabile per gli endpoint, come ⦁ Kaspersky Endpoint Security for Business che comprende la protezione dei file contro le minacce informatiche. Aggiornare la soluzione all’ultima versione disponibile in modo da rilevare anche le minacce più recenti.
⦁ Per il rilevamento a livello di endpoint, le indagini e il tempestivo ripristino degli incidenti, implementare soluzioni EDR come ⦁ Kaspersky Endpoint Detection and Response.
⦁ Oltre ad adottare una protezione per gli endpoint, implementare una soluzione di sicurezza di livello aziendale in grado di rilevare tempestivamente le minacce avanzate a livello di rete, come ⦁ Kaspersky Anti Targeted Attack Platform.
⦁ Fornire ai team SOC l’accesso alla più recente ⦁ Threat Intelligence, in modo che siano sempre aggiornati sugli strumenti, le tecniche e le tattiche, nuove ed emergenti, utilizzate dagli autori delle minacce e dai criminali informatici.
Maggiori dettagli sono disponibili su Securelist.

Please follow and like us:

Biografia Danilo Battista

Danilo Battista
Appassionato sin da piccolo della cultura giapponese, è stato rapito tanti anni fa da Goldrake e portato su Vega. Tornato sulla Terra la sua viscerale passione per l'universo nipponico l'ha portato nel corso degli anni a conoscere ed amare ogni sfumatura della cultura del Sol Levante. Su Senzalinea ha cominciato a scrivere di tecnologia e di cosplay. Da diverso tempo gestisce la sezione "Nerdangolo" ma ha promesso che un giorno, neanche tanto lontano, tornerà su Vega...

Check Also

Kaspersky partecipa al Festival della Diplomazia 2020

L’azienda di sicurezza informatica Kaspersky torna al Diplomacy Festival, l’evento giunto alla undicesima edizione e …