Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Il trojan Carbanak ora sfrutta Google per nascondersi
I ricercatori hanno scoperto che i cyber-criminali hanno spostato i loro server Command and Control per far passare inosservato il traffico Internet.
Chi se ne intende li descrive come “veri professionisti”, specializzati nel portare a termine operazioni di infiltrazione utilizzando strategie complesse e difficilissime da contrastare.
Sono i membri del gruppo Carbanak, i pirati informatici che prediligono colpire le banche e che nella loro carriera si stima abbiano rubato più di 1 miliardo di dollari.
L’ultima trovata dei cyber-criminali è una tecnica che gli ha permesso di nascondere i loro server Command and Control (C&C) sfruttando i servizi cloud di Google.
Stando a un report di Forcepoint, la tecnica sfrutterebbe servizi come i Moduli Google e i Fogli Google per controllare a distanza l’attività dei loro malware. Una trovata che gli permette di nascondersi in piena vista, ma anche di rendere più difficile l’individuazione della loro attività.
La presenza di traffico verso i servizi di un’azienda come Google, infatti, ha buone possibilità di essere considerata “normale” e difficilmente insospettisce gli amministratori di sistema che analizzano le attività all’interno delle infrastrutture che proteggono.
I ricercatori hanno scoperto il trucco quando si sono imbattuti in un documento in formato RTF che conteneva un malware attribuito al gruppo Carbanak.
Il vettore di attacco è un classico RTF “condito” con un file VBS, che la vittima deve aprire manualmente. Per indurla a farlo, l’operazione viene presentata come una verifica del fatto che si tratti di una persona in carne e ossa.
Al suo interno era nascosto un file VBScript, la cui analisi ha condotto i ricercatori di Forcepoint a individuare la posizione dei server C&C.
Il sistema attraverso cui il malware stabilisce il contatto è piuttosto complesso e prevede la creazione di un identificativo univoco (ID) che collega il computer compromesso con un modulo e un foglio di calcolo specifico.
Al primo collegamento, lo script invia l’ID cercando una corrispondenza con uno specifico foglio di calcolo e un modulo che abbiano un ID corrispondente.
Se non viene trovata alcuna corrispondenza, invia una richiesta a un indirizzo specifico, che consente la creazione di un account in cui vengono memorizzate le informazioni riguardanti la macchina compromessa e a cui vengono associati un foglio di calcolo e un modulo.
Il foglio di calcolo viene quindi usato per inviare i comandi in remoto, mentre il modulo è utilizzato per avere un feedback dell’attività.
A un’analisi superficiale, però, il tutto appare come un semplice scambio di informazioni tra un computer e un servizio legittimo, gestito da uno dei più grandi operatori del settore.
Condividi l'articolo
Brutta falla in Microsoft Remote Desktop per Mac
Bug nella funzione “avvisami” dell’App Store, in arrivo la patch
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
