Maestro Roberto - Tecnologie e didattica

Iscriviti alla Newsletter (no @hotmail - @live)


OceanLotus: vecchie tecniche, nuova minaccia online E-mail
Risorse - Sicurezza
Scritto da Administrator   
Giovedì 22 Marzo 2018 14:01
smaller text tool iconmedium text tool iconlarger text tool icon

E' stato individuato e analizzato un nuovo kit di strumenti dannosi utilizzato dal gruppo Advanced Persistent Threat (APT) noto anche come OceanLotus.
Questo gruppo nel tempo ha distribuito moltissimi malware prendendo di mira obiettivi aziendali e governativi di alto profilo soprattutto nel Sud-Est asiatico, in particolare nel Vietnam, Filippine, Laos e Cambogia. Il gruppo apparentemente molto competente e determinato, spesso assunto come vietnamita, è noto per aver integrato le sue creazioni personalizzate con tecniche note con lo scopo di ottenere il maggior successo possibile.

OceanLotus non si è limitato alla sola creazione di malware, ma ha allargato il proprio campo di azione al cyber spionaggio e al furto di proprietà intellettuale. Una delle ultime backdoor del gruppo è uno strumento dannoso completo che offre agli operatori l'accesso remoto alla macchina compromessa; essa contiene una suite di funzionalità, tra cui diversi strumenti per la manipolazione di file, del registro e dei processi, nonché per il caricamento di componenti aggiuntivi.

Per distribuire la backdoor su una determinata macchina, il gruppo usa un attacco a due stadi, nel primo dei quali viene rilasciato un dropper che permetterà l’installazione della backdoor stessa nel sistema durante la seconda fase. Questa operazione viene completata sfruttando dei trucchi comunemente usati in attacchi di questo tipo.
L'attacco inizia in genere con un tentativo di indurre la vittima ad eseguire il dropper - molto probabilmente tramite un'email di spear phishing - allegato al messaggio. Per aumentare la probabilità che l’ignara vittima clicchi sul file, questo eseguibile pericoloso viene opportunamente mascherato per presentarsi come un documento o un foglio di calcolo a cui viene abbinata una falsa icona.
Quando la vittima clicca sull’allegato, il dropper apre un documento protetto da una password impostata per distogliere l'attenzione della vittima, mentre lo stesso dropper continua nelle sue pericolose attività. Non sono necessari exploit software.
Per rendere meno prevedibile la rilevazione, i criminali utilizzano molteplici tipi di documenti. Sempre per migliorarne la credibilità e presunta affidabilità, a ogni file viene assegnato un nome piuttosto elaborato, di solito inglese. ESET rileva questi file come Win32/TrojanDropper.Agent.RUI .
Inoltre, OceanLotus è noto anche per l'uso di attacchi da watering hole, che sfruttano una versione compromessa di un sito Web che la vittima probabilmente visiterà. In questo scenario, la vittima viene ingannata e portata al download e all'esecuzione di un falso programma di installazione o di un falso aggiornamento di software.

Una volta istallata, la backdoor acquisisce una fingerprint (impronta digitale) del sistema. Poi invia al proprio server di comando e controllo vari dati, come il nome del computer, i nomi utente e la versione del sistema operativo, per poi attendere che vengano eseguite tutte le sue attività principali.

Per queste attività lo stesso server C&C utilizza diversi nomi di dominio e indirizzi IP. Tutte le comunicazioni con il server C & C sono crittografate ma la decodifica è molto semplice, poiché la chiave di decrittografia viene anteposta ai dati.

Per maggiori dettagli sull'argomento, cliccate qui

 

Fonte: ESET
 

 

Articoli correlati

Written on 22 Aprile 2016, 15.40 by maestroroberto
I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell'Unione Europea, hanno recentemente...
Written on 27 Ottobre 2017, 18.37 by maestroroberto
Il fenomeno ransomware, il virus che blocca il vostro PC chiedendo un riscatto per la sua riattivazione, continua a colpire i computer in tutto il...
Written on 23 Maggio 2018, 11.21 by maestroroberto
LockPDF è uno strumento web semplice e libero che vi permette di proteggere con password e crittografia documenti PDF. In...
Written on 30 Dicembre 2015, 18.27 by maestroroberto
Secondo le stime di UN e dell'FBI in qualsiasi momento della giornata ci sono 750.000 uomini online che cercano materiale...
Written on 20 Ottobre 2016, 17.52 by maestroroberto
Immagine: www.godsavethemarketing.it/ Il concetto di Internet è cambiato molto negli ultimi anni. Prima navigare online significava...
Written on 17 Novembre 2016, 21.03 by maestroroberto
I temi legati alla protezione dei dati personali e al rispetto della privacy sono tra i più delicati per ogni educatore che è...