Il gruppo DarkHotel usa un nuovo trojan per le sue azioni di spionaggio

Lug 20, 2017 Marco Schiaffino Attacchi, Hacking, Malware, News, RSS 4

---

Gli hacker di solito usano le reti Wi-Fi degli alberghi per colpire obiettivi di alto livello e rubare segreti industriali. Ora hanno cambiato strategia.

Il gruppo DarkHotel fa parte di quella “elite” tra i pirati informatici che viene associata al concetto di APT (Advanced Persistent Threat) che di solito indica le campagne di spionaggio collegate all’attività di servizi segreti od organizzazioni di alto livello.

Come spiegano i ricercatori di BitDefender, i DarkHotel sono una vecchia conoscenza degli esperti di sicurezza e sarebbero attivi nel settore del cyber-spionaggio da quasi 10 anni.

Di solito i pirati prediligono colpire sfruttando reti Wi-Fi negli alberghi, utilizzando exploit zero-day per compromettere i dispositivi delle loro vittime e garantirsi l’accesso a tutte le informazioni che possono ritenere utili.

Secondo quanto riportato dai ricercatori BitDefender, però, il gruppo avrebbe adesso cambiato strategia e ora starebbe sfruttando semplici tecniche di ingegneria sociale, usando però un trojan decisamente complesso che gli analisti descrivono nel dettaglio in questo report.

Il loro obiettivo sarebbe quello di agire in maniera più prudente, evitando che i loro attacchi possano essere individuati e analizzati dalle società di sicurezza.

Il vettore di attacco adottato in questa nuova campagna è una semplice email con allegato un file (winword.exe) che è in realtà un archivio auto-estraente RAR SFX il cui contenuto è crittografato con un algoritmo XOR.

Nulla di particolarmente complesso, almeno fino a quando non viene eseguito. All’avvio, infatti, il malware visualizza un documento di Word per non suscitare sospetti nella potenziale vittima. Si tratta di un file di testo con i contatti di alcune organizzazioni internazionali con sede in Corea del Nord.

Mentre sullo schermo compare il documento, però, il malware esegue un primo controllo per verificare se viene eseguito da una cartella specifica (WinStartupDir) e, solo nel caso in cui l’esito del controllo è positivo, procede con la sua attività contattando per prima cosa il server Command and Control.

Ed è qui che le cose si fanno davvero complicate. Prima di contattare il server, il trojan crea un file che contiene le informazioni sul computer infetto. Procede poi a decrittare l’indirizzo Internet del server e utilizza una serie di accorgimenti per camuffare le comunicazioni in modo che sembrino innocue trasmissioni http.

A questo punto le informazioni sul computer infetto vengono trasmesse al server C&C e il malware rimane in attesa di una risposta. Secondo i ricercatori di Bitdefender, questo passaggio sarebbe una sorta di verifica per capire se il dispositivo colpito sia quello giusto.

Se il PC compromesso è di qualche interesse, l’attacco procede. In caso contrario il trojan si cancella automaticamente e l’attacco viene terminato in modo che il malware non sia individuato.

Nel caso in cui l’attacco procede, il passo successivo prevede il download e la decodifica di un secondo modulo del malware, che viene camuffato in modo da apparire come un componente della libreria OpenSSL.

Dopo una serie di ulteriori controlli sull’ambiente in cui è in esecuzione, il trojan avvia il download di un ulteriore modulo che contiene il payload vero e proprio, che secondo gli analisti è estremamente simile a quelli già usati in passato dal gruppo DarkHotel.

---

• DarkHotel, Trojan

---

---