Attenzione: un nuovo malware si nasconde dietro una finta VPN

Notizie
Di
Pubblicato

I criminali si spacciano per VPN per lanciare malware

Laptop with warning symbols over the keyboard
(Immagine:: Shutterstock)

Gli hacker hanno scoperto che si spacciano per strumentiVPNlegittimi e di livello aziendale nel tentativo di compromettere grandi organizzazioni, distribuire ulteriore malware ed eventualmente esfiltrare informazioni sensibili.

Un nuovo rapporto dei ricercatori di sicurezza informatica di Trend Micro ha individuato un falso programma GlobalProtect distribuito online.

GlobalProtect è una soluzione di sicurezza che fornisce un accesso remoto sicuro alla rete di un'organizzazione. È progettata per garantire che gli utenti, sia che lavorino in remoto che in sede, possano accedere in modo sicuro alle risorse aziendali mantenendo un elevato livello di sicurezza. Le sue caratteristiche principali includono una VPN, la sicurezza degli endpoint e la prevenzione delle minacce.

Controllate sempre tutto 

Trend Micro non sa come le aziende abbiano finito per scaricare e installare l'applicazione sbagliata. Si sospetta che sia stata distribuita tramite phishing, ma è anche probabile che sia in corso un avvelenamento SEO e che i dipendenti siano stati contattati anche tramite messaggistica istantanea.

In ogni caso, quando gli utenti eseguono il file "GlobalProtect.exe", ottengono una finestra che sembra una normale installazione, per non destare alcun sospetto. Tuttavia, in background, viene caricato anche il malware. Per prima cosa analizza l'endpoint di destinazione per vedere se è in esecuzione in una sandbox e, in caso contrario, esegue il suo codice primario.

Dopodiché esegue il profilo del dispositivo e invia le informazioni al suo server C2, crittografato.

Trend Micro afferma che questo malware fa il possibile per non farsi notare. Ad esempio, l'indirizzo C2 è stato registrato di recente e contiene la dicitura "sharjahconnect" per far credere che provenga dagli uffici di Palo Alto a Sharjah, negli Emirati Arabi Uniti.

Inoltre, il malware comunica con il C2 tramite beacon inviati periodicamente attraverso Interactsh, uno strumento open-source comunemente utilizzato dai pentester.

Analizzando il malware, i ricercatori hanno dichiarato che è in grado di eseguire script PowerShell, scaricare e caricare file e altro ancora.

Via BleepingComputer

Patrizio Coccia

Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.