G DATA scopre ComRAT, variante del pericoloso spyware Agent.BTZ


Gli esperti di sicurezza di G DATA hanno scoperto e analizzato il sofisticato spyware che prende di mira i dati sensibili. Gli esperti dei G DATA Security Labs hanno scoperto e analizzato una nuova variante dell’altamente complesso programma spyware Agent.BTZ. Lo spyware ComRAT attacca network ad alto potenziale con l’obbiettivo di rubare dati sensibili. Sulla base di dettagli tecnici gli analisti hanno evidenziato che il malware ha la stessa origine di Agent.BTZ, usato per un cyber attacco negli Stati Uniti nel 2008. Oltre a ciò gli esperti hanno ancora una volta determinato somiglianze con lo spyware Uroburos.

I G DATA Security Labs hanno lanciato per la prima volta l’allarme su Uruboros a febbraio nel 2014 dopo che questo malware aveva, tra gli altri, attaccato il Ministero degli Esteri belga. Attraverso l’hijacking di una interfaccia sviluppatore (“COM hi-jacking”) il malware può inserirsi su un PC e avviare funzioni maligne senza che l’utente se ne accorga, rubando dati altamente sensibili attraverso il traffico dati del browser. In questo modo i criminali possono usare il tool di amministrazione remota di ComRAT per spiare un sistema infettato per lungo tempo prima di essere scoperti. Le soluzioni di sicurezza di G DATA hanno segnalato e bloccato le varianti di ComRAT.  

“ComRAT è l’utima generazione dei noti programmi spyware Uroburos e Agent.BTZ. Come i suoi predecessori ComRAT è sviluppato per operare e condurre attacchi contro network di grandi dimensioni che appartengono a aziende, autorità, organizzazioni e istituti di ricerca”, spiega Ralf Benzmüller, Head of G DATA SecurityLabs. "Riteniamo che dietro questo nuovo malware ci sia lo stesso gruppo di persone dal momento che ci sono molte similitudini con i suoi predecessori. Questo nuovo software, inoltre, è addirittura più complesso e sofisticato. Questo è indice di uno sviluppo che ha richiesto un sensibile investimento economico.”

I G DATA SecurityLabs hanno battezzato questo spyware “ComRAT” in virtù delle sue proprietà tecniche. Il nome risulta composto dai termini interfaccia COM (Component Object Model) e RAT (Remote Administration Tool).  Gli oggetti COM sono spesso utilizzati per hackerare un computer. Questa funzionalità offre ai programmatori di malware un nascondiglio dove possono operare senza che gli utenti o la protezione antivirus se ne accorgano, il tutto al fine di compromettere il browser. I dati rubati dal network sembrano così dati completamente normali di navigazione tramite browser. Il RAT è un tool di amministrazione remota generalmente utilizzato per accedere ad altri computer da location remote. 

Gli hacker possono così controllare il malware dall’esterno. Nella loro analisi gli esperti di G DATA hanno scoperto due varianti del malware. Agent.BTZ è un worm utilizzato per lo spionaggio che ha infettato centinaia di migliaia di Pc in tutto il mondo, dopo aver attaccato il Comando Centrale delle forze armate Usa in una violazione senza precedenti nel 2008. COM è descritto da Microsoft come "il sistema per la creazione di componenti software binari in grado di interagire indipendente dalla piattaforma distribuita, orientata agli oggetti". Lo scopo di questa tecnologia è quello di fornire un'interfaccia per consentire agli sviluppatori di controllare e manipolare oggetti di altre applicazioni. 

G Data ha già parlato di questa tecnologia nel caso di IcoScript, che utilizza Component Object Model per implementare un canale di comunicazione sui sistemi Windows. Ogni oggetto COM è definito da un ID univoco chiamato CLSID. Ad esempio il CLSID per creare un'istanza di Internet Explorer è {0002DF01-0000-0000-C000-000000000046}. Informazioni più dettagliate possono essere trovate qui: http://bit.ly/1oRtQX4. Dettagli su come funziona l’hijacking possono essere trovati sul G DATA SecurityBlog: http://bit.ly/1ulMkhK. Una panoramica di Uroburos è disponibile qui: http://bit.ly/1H9Hlrb, insieme a una analisi tecnica approfondita del malware: http://bit.ly/1cqBGk2





Fonte: G DATA

Nessun commento:

Posta un commento