Skype usato per diffondere un nuovo malware: l’allarme degli esperti

Notizie
Di Pubblicato

Il trojan GodRAT si nasconde in file contraffatti e prende di mira soprattutto piccole e medie imprese.

skype
BigTunaOnline / Shutterstock.com (Immagine:: BigTunaOnline / Shutterstock.com)

I criminali informatici sono stati scoperti ad utilizzare Skype Messenger per diffondere malware di tipo Remote Access Trojan (RAT), compromettendo i computer delle vittime e aprendo la strada ad attacchi di seconda fase potenzialmente devastanti.

I ricercatori di Kaspersky hanno recentemente individuato una variante inedita di malware chiamata GodRAT, distribuita attraverso file screensaver malevoli camuffati da documenti finanziari.

GodRAT malware being spread

Gli attaccanti condividevano inizialmente finti dati finanziari sotto forma di file immagine. Attraverso la steganografia, nascondevano del codice dannoso che, una volta attivato, scaricava il malware GodRAT da un server di terze parti.

Il RAT raccoglieva informazioni sul sistema operativo, nome host locale, nome e ID del processo infetto, account utente associato al malware, software antivirus installati e la presenza di driver di cattura.

Successivamente, GodRAT poteva ricevere plugin aggiuntivi a seconda delle informazioni inizialmente trasmesse agli attaccanti: tra questi, file explorer e password stealer. In alcuni casi, i criminali hanno sfruttato GodRAT per installare anche AsyncRAT, un impianto secondario che garantiva loro un accesso prolungato, se non permanente.

«GodRAT sembra essere un’evoluzione di AwesomePuppet, già segnalato da Kaspersky nel 2023 e probabilmente collegato al gruppo Winnti APT. Le sue modalità di distribuzione, i rari parametri da riga di comando, le somiglianze di codice con Gh0st RAT e alcuni artefatti condivisi - come un’impronta digitale distintiva - suggeriscono un’origine comune», ha spiegato Saurabh Sharma, ricercatore di sicurezza presso Kaspersky GReAT.

«La scoperta di GodRAT dimostra come strumenti noti da tempo possano restare rilevanti nello scenario odierno della cybersecurity».

Kaspersky non ha fornito dettagli sul numero delle vittime o sul tasso di successo della campagna, ma ha sottolineato che i bersagli principali erano piccole e medie imprese (PMI) negli Emirati Arabi Uniti, a Hong Kong, in Giordania e in Libano.

TOPICS
Patrizio Coccia

Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.