Ad individuare il trojan sono stati gli analisti di TG Soft, software house veneta specializzata nella realizzazioni di antimalware della linea Vir.IT.
La diffusione della minaccia avviene tramite mail con link che inviterebbero a visitare un dominio italiano, dal quale si viene invogliati a scaricare un file per un (presunto) aggiornamento Java chiamato WIN.bat.
Piuttosto che scaricare una versione aggiornata di Java, Win.bat ha l’obiettivo di contattare la pagina github.com/pistacchietto/Win-Python-Backdoor: esso include documenti e fogli di calcolo con macro malevole, il suddetto Win.bat e altro ancora.
Il listato Batch scarica i diversi componenti della backdoor sul sistema, e la componente principale della minaccia è un eseguibile (wup1.exe) che l’antivirus Vir.IT identifica come Backdoor.Win32.Pistacchietto.A (hash MD5: DD58EAB17F853A4C26B49FCE21B53A38).
La backdoor è in grado di comunicare con tre diversi domini di comando & controllo localizzati in Italia (sui server di Aruba, Wind e Cloudflare).
Una volta infettato il sistema, il trojan è in grado di eseguire nuovi file, chiudere processi, dare privilegi di accesso ad altri utenti e molto altro ancora. Il malware usa tool legittimi come wget per raggiungere i suoi scopi malevoli.
Non è chiaro, al momento, se il bersaglio della backdoor sia un’organizzazione o un soggetto specifici o se si tratti piuttosto di un progetto malevolo ancora in fase di evoluzione, la cosa certa è che dietro dovrebbe esserci un italiano o un gruppo d'italiani.
L'analisi completa della minaccia e il meccanismo di attacco lo trovate descritto sul sito ufficiale del team di ricerca: TG Soft
Nessun commento:
Posta un commento