Lo spy-tool ha preso di mira istituzioni finanziarie e centri di ricerca indiani; viene usato per svolgere azioni tipiche di uno strumento malevolo di amministrazione remota (RAT)

Il nuovo trojan spyware che prende di mira gli enti diplomatici

Lo scorso anno i ricercatori di Kaspersky hanno individuato ATMDtrack, un malware specificamente progettato per infiltrarsi negli ATM indiani e rubare i dati delle carte di credito degli utenti. Dopo ulteriori approfondimenti, i ricercatori hanno rilevato più di 180 campioni di nuovi malware la cui sequenza di codice presentava somiglianze con ATMDtrack, ma che allo stesso tempo non erano pensati per prendere di mira gli ATM. La lista delle loro funzionalità ha portato a identificarli come spy-tool, ora noti con il nome Dtrack. Le due varianti presentavano delle somiglianze anche con la campagna del 2013 DarkSeoul, attribuita a Lazarus, autore di una minaccia persistente avanzata responsabile di molteplici operazioni di cyberspionaggio e sabotaggio informatico.

Dtrack può essere usato come uno strumento di amministrazione remota (RAT), garantendo agli autori della minaccia il completo controllo dei dispositivi infettati. I criminali informatici possono, a quel punto, condurre diverse operazioni, come caricare e scaricare file ed eseguire processi chiave.

Gli enti presi di mira dagli autori delle minacce che si sono serviti di Dtrack hanno spesso policy di sicurezza di rete e standard per le password molto deboli; inoltre, non riescono a tracciare il traffico dell’intera organizzazione. Se implementato correttamente, lo spyware è in grado di compilare una lista di tutti i file disponibili e dei processi in corso, delle chiavi di accesso, la cronologia e l’indirizzo IP dell’host, incluse le informazioni disponibili sulle reti e le connessioni attive.

“Lazarus è un gruppo sostenuto dagli Stati nazione piuttosto insolito. Come molti altri gruppi simili, si concentra nella conduzione di operazioni di cyberspionaggio o sabotaggio. Oltre a questo, però, si è anche scoperto che influenza gli attacchi che mirano chiaramente al furto di denaro. Quest’ultima è una rara dinamica per un autore di minacce di così alto profilo perché, in generale, altri autori non sono guidati da motivazioni finanziarie nelle loro operazioni. La grande quantità di campioni di Dtrack che abbiamo trovato dimostra come Lazarus sia uno dei gruppi APT più attivi, in costante sviluppo ed evoluzione nel tentativo di colpire le grandi industrie. Il successo dell’esecuzione di Dtrack RAT dimostra che anche quando una minaccia sembra scomparire, ricompare in una veste diversa per attaccare nuovi obiettivi. Anche un centro di ricerca, o un’organizzazione finanziaria che opera esclusivamente nel settore commerciale senza legami con enti governativi, dovrebbe comunque considerare l’eventualità di essere attaccati da un autore di minacce sofisticate ed essere preparati a rispondere”, ha dichiarato Konstantin Zykov, Security Researcher del Kaspersky’s Global Research and Analysis Team.

Per evitare di essere colpiti da un malware come Dtrack, gli esperti di Kaspersky raccomandano di:

  • Usare un software di monitoraggio del traffico di rete, come Kaspersky Anti Targeted Attack Platform (KATA)
  • Adottare soluzioni di sicurezza la cui validità sia stata comprovata, corredate da tecnologie di rilevamento delle minacce basate sul comportamento, come like Kaspersky Endpoint Security for Business
  • Condurre regolarmente dei test sulla sicurezza dell’infrastruttura IT dell’azienda
  • Condurre regolarmente dei corsi di sicurezza informatica per i dipendenti
  • Maggiori informazioni sul nuovo malware usato dal gruppo Lazarus sono disponibili su Securelist.