Sicurezza

Malware modulare Il nuovo attacco furtivo che ruba i tuoi dati

Malware modulare Il nuovo attacco furtivo che ruba i tuoi dati / Sicurezza

Il malware è disponibile in tutte le forme e dimensioni. Inoltre, la sofisticazione del malware è cresciuta notevolmente nel corso degli anni. Gli attaccanti si rendono conto che cercare di adattare ogni aspetto del proprio pacchetto malevolo a un unico carico utile non è sempre il modo più efficiente.

Nel tempo, il malware è diventato modulare. Cioè, alcune varianti di malware possono utilizzare diversi moduli per alterare il modo in cui influiscono su un sistema di destinazione. Quindi, cos'è il malware modulare e come funziona?

Che cos'è il malware modulare?

Il malware modulare è una minaccia avanzata che attacca un sistema in fasi diverse. Invece di saltare attraverso la porta principale, il malware modulare assume un approccio più sottile.

Lo fa solo installando prima i componenti essenziali. Quindi, invece di provocare una fanfara e avvisare gli utenti della sua presenza, il primo modulo scansiona il sistema e la sicurezza della rete; chi è responsabile, quali protezioni sono in esecuzione, dove il malware può trovare vulnerabilità, quali exploit hanno le migliori possibilità di successo, e così via.

Dopo aver scoperto correttamente l'ambiente locale, il modulo malware di prima fase può chiamare a casa il proprio server di comando e controllo (C2). Il C2 può quindi inviare ulteriori istruzioni insieme a moduli di malware aggiuntivi per sfruttare l'ambiente specifico in cui opera il malware.

Il malware modulare presenta numerosi vantaggi rispetto al malware che racchiude tutte le sue funzionalità in un singolo carico utile.

  • L'autore del malware può modificare rapidamente la firma del malware per eludere l'antivirus e altri programmi di sicurezza.
  • Il malware modulare consente un'ampia funzionalità per una varietà di ambienti. In questo modo, gli autori possono reagire a specifici obiettivi o, in alternativa, selezionare specifici moduli da utilizzare in particolari ambienti.
  • I moduli iniziali sono minuscoli e in qualche modo più facili da offuscare.
  • La combinazione di più moduli malware impedisce ai ricercatori di sicurezza di indovinare cosa succederà dopo.

Il malware modulare non è una nuova minaccia improvvisa. Gli sviluppatori di malware hanno fatto un uso efficiente dei programmi di malware modulari per molto tempo. La differenza è che i ricercatori di sicurezza stanno incontrando più malware modulare in una vasta gamma di situazioni. I ricercatori hanno anche avvistato l'enorme botnet Necurs (famigerato per la distribuzione delle varianti di Dridex e Locky ransomware) che distribuiscono payload di malware modulari. (Che cos'è una botnet, comunque? Che cos'è una botnet e il tuo computer parte di una cosa è una botnet e il tuo computer è parte di una? Le botnet sono una delle principali fonti di malware, ransomware, spam e altro ancora. una botnet? Come nascono? Chi li controlla? E come possiamo fermarli? Per saperne di più)

Esempi di malware modulari

Esistono alcuni esempi di malware modulari molto interessanti. Qui ci sono alcuni da considerare.

VPNFilter

VPNFilter è una recente variante di malware che attacca i router e i dispositivi Internet of Things (IoT). Il malware funziona in tre fasi.

Il malware di prima fase contatta un server di comando e controllo per scaricare il modulo stage due. Il modulo di seconda fase raccoglie dati, esegue comandi e può interferire con la gestione dei dispositivi (inclusa la capacità di “mattone” un router, IoT o dispositivo NAS). Il secondo stadio può anche scaricare moduli di terzo stadio, che funzionano come plug-in per il secondo stadio. I tre stage stage includono uno sniffer di pacchetto per il traffico SCADA, un modulo di iniezione di pacchetti e un modulo che consente al malware di fase 2 di comunicare utilizzando la rete Tor.

È possibile ottenere ulteriori informazioni su VPNFilter, da dove proviene e su come individuarlo qui.

T9000

I ricercatori di sicurezza di Palo Alto Networks hanno scoperto il malware T9000 (nessuna relazione con Terminator o Skynet ... o è così ?!).

T9000 è uno strumento di raccolta dati e intelligence. Una volta installato, T9000 lascia un utente malintenzionato “acquisire dati crittografati, acquisire schermate di applicazioni specifiche e indirizzare in modo specifico gli utenti Skype,” così come i file di prodotto di Microsoft Office. T9000 è dotato di diversi moduli progettati per eludere fino a 24 diversi prodotti di sicurezza, alterando il processo di installazione per rimanere sotto il radar.

DanaBot

DanaBot è un Trojan bancario multistadio con diversi plugin che l'autore usa per estendere le sue funzionalità. (Come affrontare in modo rapido ed efficace i Trojan di accesso remoto. Come gestire in modo semplice ed efficace i Trojan di accesso remoto Come gestire in modo semplice ed efficace Trojan di accesso remoto Odora un RAT? Se pensi di essere stato infettato da un Trojan di accesso remoto, puoi facilmente sbarazzartene seguendo questi semplici passaggi Leggi di più) Ad esempio, nel maggio 2018, DanaBot è stato avvistato in una serie di attacchi contro banche australiane. A quel tempo, i ricercatori hanno scoperto un pacchetto sniffing e plug-in per l'iniezione, un plug-in per la visualizzazione remota VNC, un plug-in per la raccolta dei dati e un plugin Tor che consente comunicazioni sicure.

“DanaBot è un trojan bancario, il che significa che è necessariamente geo-mirato in una certa misura,” legge il blog di Proofpoint DanaBot. “L'adozione da parte di attori di alto volume, tuttavia, come abbiamo visto nella campagna statunitense, suggerisce lo sviluppo attivo, l'espansione geografica e l'interesse costante degli attori delle minacce nel malware. Lo stesso malware contiene una serie di funzioni anti-analisi, oltre a moduli di controllo remoto e di stealer, aumentando ulteriormente la sua attrattiva e utilità per gli attori delle minacce.”

Marap, AdvisorsBot e CobInt

Sto combinando tre varianti di malware modulari in una sezione mentre i fantastici ricercatori sulla sicurezza di Proofpoint hanno scoperto tutti e tre. Le varianti di malware modulari presentano somiglianze ma hanno usi diversi. Inoltre, CobInt fa parte di una campagna per il Gruppo Cobalt, un'organizzazione criminale legata a una lunga lista di cybercrime bancari e finanziari.

Marap e AdvisorsBot sono stati entrambi individuati nell'individuare i sistemi di destinazione per la difesa e la mappatura della rete, e se il malware dovrebbe scaricare l'intero carico utile. Se il sistema di destinazione è di interesse sufficiente (ad es. Ha un valore), il malware richiede la seconda fase dell'attacco.

Come altre varianti di malware modulari, Marap, AdvisorsBot e CobInt seguono un flusso in tre fasi. La prima fase è in genere una e-mail con un allegato infetto che porta l'exploit iniziale. Se l'exploit viene eseguito, il malware richiede immediatamente la seconda fase. Il secondo stadio comprende il modulo di ricognizione che valuta le misure di sicurezza e il panorama della rete del sistema di destinazione. Se il malware considera che tutto sia adatto, i download del terzo e ultimo modulo, incluso il carico utile principale.

Proofpoint anale di:

  • Marap
  • AdvisorBot (e PoshAdvisor)
  • Cobin

Caos

Mayhem è una variante di malware modulare leggermente più antica, che è venuta alla luce nel 2014. Tuttavia, Mayhem rimane un grande esempio di malware modulare. Il malware, scoperto dai ricercatori di sicurezza di Yandex, è indirizzato ai server Web Linux e Unix. Si installa tramite uno script PHP dannoso.

Una volta installato, lo script può richiamare diversi plug-in che definiscono l'utilizzo finale del malware.

I plug-in includono un cracker per password brute force che indirizza gli account FTP, WordPress e Joomla, un web crawler alla ricerca di altri server vulnerabili e uno strumento che sfrutta la vulnerabilità Heartbleed OpenSLL.

DiamondFox

La nostra variante di malware modulare finale è anche una delle più complete. È anche uno dei più preoccupanti, per un paio di motivi.

Motivo uno: DiamondFox è una botnet modulare in vendita su vari forum sotterranei. Potenziali criminali informatici possono acquistare il pacchetto botnet modulare DiamondFox per accedere a una vasta gamma di funzionalità di attacco avanzate. Lo strumento viene regolarmente aggiornato e, come tutti i buoni servizi online, ha un servizio clienti personalizzato. (Ha persino un registro delle modifiche!)

Motivo due: la botnet modulare DiamondFox viene fornita con una serie di plugin. Questi vengono attivati ​​e disattivati ​​tramite una dashboard che non sarebbe fuori luogo come un'app di casa intelligente. I plugin includono strumenti di spionaggio su misura, strumenti per rubare credenziali, strumenti DDoS, keylogger, mailer di spam e persino un raschietto RAM.

Avvertenza: il seguente video ha musica che potresti apprezzare o meno.

Come fermare un attacco malware Malware

Al momento attuale, nessuno strumento specifico protegge da una specifica variante di malware modulare. Inoltre, alcune varianti di malware modulari hanno un ambito geografico limitato. Ad esempio, Marap, AdvisorsBot e CobInt si trovano principalmente nelle nazioni della Russia e della CSI.

Detto questo, i ricercatori di Proofpoint hanno sottolineato che, nonostante le attuali limitazioni geografiche, se altri criminali vedono un'organizzazione criminale così consolidata che utilizza malware modulare, altri seguiranno sicuramente l'esempio.

La consapevolezza di come il malware modulare arriva sul tuo sistema è importante. La maggior parte usa allegati e-mail infetti, di solito contenenti un documento di Microsoft Office con uno script VBA dannoso. Gli aggressori usano questo metodo perché è facile inviare e-mail infette a milioni di potenziali bersagli. Inoltre, l'exploit iniziale è minuscolo e facilmente camuffato come un file di Office.

Come sempre, assicurati di mantenere aggiornato il tuo sistema e considera di investire in Malwarebytes Premium: ne vale la pena 5 motivi per passare a Malwarebytes Premium: Sì, ne vale 5 motivi per passare a Malwarebytes Premium: Sì, ne vale la pena la versione gratuita di Malwarebytes è fantastica, la versione premium ha un sacco di utili e utili funzionalità. Leggi di più !

Scopri di più su: gergo, malware, malware modulare, cavallo di Troia.