Home Internet Turla diffonde un malware attraverso Adobe Flash Player

Turla diffonde un malware attraverso Adobe Flash Player

-

Tempo di lettura: 3 minuti

Il famigerato gruppo di spie informatiche Turla, probabilmente appoggiato dal governo russo, sta utilizzando un nuovo strumento nelle ultime campagne indirizzate alle ambasciate e ai consolati negli stati dell’ex unione sovietica. Questo nuovo tool cerca di ingannare le vittime nel tentativo di installare un malware in grado di sottrarre le informazioni sensibili ricercate dal gruppo Turla.

Da sempre queste spie digitali utilizzano l’ingegneria sociale per ingannare gli utenti e condurli all’esecuzione di falsi programmi di installazione di programmi noti come ad esempio Adobe Flash Player. Pur conservando nel tempo lo stesso modus operandi, il gruppo ha escogitato nuovi mezzi per raggiungere i propri scopi, proprio come dimostra l’ultima ricerca ESET.

Attualmente i criminali stanno distribuendo una backdoor presentandola come un legittimo programma di installazione di Flash Player, ma in quest’occasione hanno aggiunto URL e indirizzi IP che sembrano realmente appartenere ad Adobe, inducendo le vittime a credere di scaricare il software direttamente dal sito adobe.com.

Le campagne che hanno sfruttato questo nuovo strumento sono iniziate già dal luglio del 2016 e presentano numerosi segni distintivi riconducibili al gruppo tra cui Mosquito, una backdoor ideata dallo stesso gruppo di spie, e l’uso di indirizzi IP precedentemente collegati al gruppo. 

Vettori di attacco

I ricercatori di ESET hanno diverse ipotesi sulle modalità con cui viene diffuso il malware legato a Turla. Certamente si può escludere a priori un coinvolgimento di Adobe. Non è noto come il malware di Turla abbia alterato gli aggiornamenti legittimi di Flash Player, né se sfrutti delle vulnerabilità di prodotti Adobe noti. È stata scartata anche la possibilità che il sito per il download di Adobe Flash Player sia stato compromesso.ESET_Turla

I possibili vettori di attacco che i ricercatori ESET hanno considerato sono:

  • Una macchina all’interno della rete aziendale della vittima potrebbe essere compromessa in modo da poter essere sfruttata in un attacco Man-in-the-Middle (MitM) locale. Tale eventualità permetterebbe il reindirizzamento immediato del traffico della macchina che si desidera attaccare a una macchina compromessa sulla rete locale.
  • I criminali potrebbero compromettere il gateway di rete di un’azienda, che gli consentirebbe di intercettare tutto il traffico in entrata e in uscita tra l’intranet di questa organizzazione e Internet.
  • L’intercettazione del traffico potrebbe anche verificarsi a livello di provider dei servizi Internet (ISP), una tattica che – come evidenziato dalla recente ricerca ESET nelle campagne di sorveglianza che utilizzano spyware FinFisher – non è impossibile.
  • Le spie avrebbero potuto utilizzare anche un dirottamento BGP (Border Gateway Protocol) per reindirizzare il traffico a un server controllato da Turla, anche se questa tattica avrebbe probabilmente insospettito immediatamente i servizi di controllo Adobe o BGP.

Una volta scaricato e avviato il falso programma di installazione di Flash, viene automaticamente installata una delle backdoor del gruppo. Molto spesso si tratta di Mosquito, un file JavaScript dannoso che comunica con un’app Web ospitata su Google Apps Script.

ESET Italia consiglia soprattutto agli utenti aziendali la massima attenzione nella verifica del proprio traffico di rete ed un controllo periodico sui sistemi con una soluzione di sicurezza affidabile e che sfrutti avanzati algoritmi per l’identificazione euristica dei malware.

Redazione BitMAThttps://www.bitmat.it/
BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.
  • Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

  • I più letti

    SEMrush

    SEMrush acquisisce Prowly

    Prowly continuerà ad operare come brand indipendente, ma sarà strettamente inserito nell'ecosistema SEMrush, beneficiando del vasto patrimonio della sua banca dati.
    Customer experience e piattaforme di acquisto digitale

    Customer experience e piattaforme di acquisto digitale

    L’82% dei manager di grandi aziende dichiara un legame diretto tra la Customer Experience e le performance di business
    Civitanova Marche sceglie la cybersicurezza di Axitea

    Civitanova Marche sceglie la cybersicurezza di Axitea

    Tra i primi in Italia a implementare un piano esteso di sicurezza e monitoraggio, il comune punta a proteggere i dati sensibili dei cittadini
    Dispositivi mobile: il decalogo della sicurezza aziendale

    Dispositivi mobile: il decalogo della sicurezza aziendale

    Una violazione della sicurezza via mobile può avere un impatto devastante sull’intera infrastruttura IT
    Rilasciato gratuitamente il codice sorgente del malware Cerberus

    Rilasciato gratuitamente il codice sorgente del malware Cerberus

    Potenziate le funzionalità che comprendono il furto del sistema 2FA e le funzionalità RAT