Categorie
Sicurezza Informatica

Bloody Wolf colpisce il Kazakistan con il malware commerciale STRRAT

Il gruppo di hacker Bloody Wolf utilizza il malware commerciale STRRAT per colpire le organizzazioni in Kazakistan

Il gruppo di hacker Bloody Wolf ha recentemente colpito diverse organizzazioni in Kazakistan utilizzando il malware commerciale STRRAT. Questo malware è stato distribuito tramite email di phishing che contenevano allegati PDF, mascherati come avvisi di non conformità, con link a file JAR dannosi.

Dettagli dell’attacco

Le vittime ricevevano email di phishing con allegati PDF che contenevano link a file JAR malevoli. Questi file erano ospitati su un dominio di phishing (egov-kz[.]online) che imitava il sito web del governo del Kazakistan. Gli allegati PDF fornivano anche link a una guida per l’installazione dell’interprete Java, necessario per il funzionamento del malware. Uno di questi link reindirizzava al sito web del governo del Kazakistan, incoraggiando i visitatori a installare Java per il corretto funzionamento del portale e-government.

Funzionamento del Malware STRRAT

Una volta lanciato, il malware STRRAT scarica le dipendenze, inclusi i keylogger di sistema accessibili pubblicamente su GitHub. Il malware copia i propri file nella directory C:\\Users\\[user]\\AppData\\Roaming e crea file di configurazione per identificare il port di connessione. Inoltre, crea una voce nel registro di sistema per garantire la persistenza, avviando il file dannoso ad ogni riavvio del sistema.

STRRAT si connette ai server di comando e controllo (C2) per scaricare ulteriori file dannosi e ricevere comandi. I server C2 utilizzati includono https://pastebin[.]com/raw/dFKy3ZDm:13570 e https://pastebin[.]com/raw/dLzt4tRB:13569.

Capacità del Malware

Il malware STRRAT può eseguire una vasta gamma di comandi ricevuti dal server C2, tra cui:

  • Riavviare o spegnere il sistema.
  • Rimuovere componenti del malware dal sistema compromesso.
  • Scaricare ed eseguire ulteriori file da posizioni di rete specificate.
  • Intercettare i tasti premuti utilizzando la libreria di sistema hook.
  • Eseguire comandi tramite il terminale di Windows e PowerShell.
  • Gestire i file nel sistema compromesso.
  • Controllare il browser della vittima e trasmettere l’immagine della pagina del browser al server C2.
  • Installare un proxy per il sistema compromesso.
  • Cifrare e decifrare i file dell’utente utilizzando l’algoritmo AES, aggiungendo l’estensione .crimson ai file criptati.

Raccolta di Dati

Il malware raccoglie informazioni dettagliate sul sistema, inclusi il nome del dispositivo e le lingue supportate, eseguendo query WMI per ottenere dati su dischi, architettura, versione del sistema operativo e software antivirus. Inoltre, raccoglie dati di account dai browser Chrome, Firefox, Internet Explorer e dai client di posta Foxmail, Outlook e Thunderbird.

L’attacco di Bloody Wolf con il malware STRRAT evidenzia la sofisticazione delle minacce informatiche moderne e l’importanza di adottare misure di sicurezza adeguate. Le organizzazioni, secondo Bi.Zone, devono essere consapevoli dei rischi associati alle email di phishing e implementare soluzioni di sicurezza robuste per proteggere i propri sistemi e dati sensibili.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Exit mobile version