Cercano software pirata, trovano il trojan Gatak

Nov 28, 2016 Marco Schiaffino Attacchi, Malware, News, RSS 0

Il sito Web offriva key generator per programmi aziendali, ma in realtà il programmino non generava un numero di serie: installava il malware.

Cercare di risparmiare qualche euro sulla licenza di un programma può costare caro. L’hanno scoperto a loro spese numerose aziende e professionisti che, al posto di ottenere una licenza pirata, si sono trovati con un trojan sul computer.

Ad attirare le vittime è stato un sito Internet che prometteva un generatore di codici (keygen) per numerosi software professionali. Il programmino, in realtà, non era in grado di creare alcun codice: conteneva soltanto il trojan Gatak.

Una licenza per un programma professionale può costare centinaia di euro. Su questo sito venivano offerte gratis…

Si tratta di un classico trojan in circolazione dal 2011, che è in grado di aprire una backdoor e sottrarre informazioni riservate dal computer infetto, installare ulteriore malware e consentire attività in remoto.

Da un punto di vista tecnico, però, Gatak ha una particolarità: utilizza la tecnica della steganografia (l’inserimento di dati nascosti all’interno delle immagini – ndr) per ricevere comandi e file tramite Internet.

Stando a quanto riportato da Symantec, che ha individuato e analizzato questa singolare campagna di distribuzione, i pirati che hanno messo in piedi l’operazione sarebbero stati interessati a una specifica tipologia di bersagli, operanti in settori commerciali e produttivi.

L’elenco dei programmi per cui veniva proposto il keygen, d’altra parte, comprendeva software molto specializzati:

-SketchList3D – design per falegnameria

-Native Instruments Drumlab – sound engineering

-BobCAD-CAM – manifattura

-BarTender Enterprise Automation – creazione di etichette e codici a barre

-HDClone – clonazione degli hard disk

-Siemens SIMATIC STEP 7 – automazione industriale

-CadSoft Eagle Professional – design per schede a circuiti integrati

-PremiumSoft Navicat Premium – database di amministrazione

-Originlab Originpro – data analysis e grafici

-Manctl Skanect – 3D scanning

-Symantec System Recovery – backup e data recovery

I ricercatori Symantec hanno anche stilato una classifica ordinata per settori delle vittime. Curiosamente il 40% opera nel settore medico. Un dato statistico che si spiega, probabilmente, con le rigide normative statunitensi, che obbligano per legge gli operatori del settore a utilizzare database particolari.

L’attacco, in ogni caso, era ben congegnato e orchestrato manualmente dai cyber-criminali. Gli analisti hanno infatti registrato tentativi di “movimenti laterali” all’interno delle reti infettate, che sarebbero avvenuti con modalità tali da escludere l’ipotesi di una strategia preordinata.

Insomma: una volta ottenuto l’accesso ai sistemi, i pirati hanno gestito ogni attacco adattando le loro strategie per raggiungere i loro obiettivi: dal furto di informazioni personali all’installazione di ransomware sui computer infettati.

Condividi l'articolo