Sommario
Le minacce informatiche stanno evolvendo, con attacchi sempre più sofisticati rivolti sia al mondo mobile che ai sistemi aziendali. Due tra le minacce più recenti sono la variante di malware mobile Octo2, che mira a banche europee e utenti Android, e il backdoor More_eggs, che colpisce tramite campagne di phishing mirate. Di seguito un’analisi dettagliata di queste minacce.
Octo2: nuova variante del malware mobile ExobotCompact
La famiglia di malware Octo, conosciuta in precedenza come ExobotCompact, ha visto un significativo incremento di attività grazie al rilascio di una nuova variante chiamata Octo2. Questo malware mobile è stato particolarmente efficace nell’attaccare applicazioni bancarie in Europa, con attività osservata in Italia, Polonia, Moldova e Ungheria.
La nuova variante Octo2 è caratterizzata da sofisticate tecniche di offuscamento e dall’introduzione di un algoritmo di generazione dei domini (Domain Generation Algorithm, DGA), che permette di generare nuovi nomi di server Command and Control (C2) e rende più difficile per gli esperti di sicurezza tracciare le comunicazioni tra il malware e i server degli attaccanti. Inoltre, Octo2 migliora le capacità di accesso remoto, permettendo agli attaccanti di assumere il controllo dei dispositivi infetti, un aspetto particolarmente critico quando si tratta di furti di credenziali bancarie.
Distribuzione e attacchi mirati
Octo2 viene distribuito attraverso campagne di phishing, spesso travestito da applicazioni legittime come Google Chrome e NordVPN, utilizzando il dropper Zombinder per aggirare le restrizioni di sicurezza di Android 13+. Il malware è in grado di intercettare notifiche push, garantendo che le vittime non ricevano avvisi di sicurezza da app bancarie o altre applicazioni sensibili.
Il suo codice sorgente, che è stato divulgato nel 2024, ha portato a diverse varianti del malware, con attori malevoli che hanno sviluppato nuove campagne e funzionalità. La stabilità delle sessioni remote è stata migliorata, introducendo la modalità “SHIT_QUALITY” (così chiamata dagli sviluppatori), che riduce la quantità di dati trasmessi durante l’accesso remoto, garantendo una connessione più stabile anche su reti scadenti.
L’emergere di Octo2 rappresenta una sfida significativa per la sicurezza bancaria, con il suo focus sulle frodi bancarie e la capacità di intercettare dati sensibili a livello di dispositivo. Questa evoluzione nel malware mobile secondo ThreatFabric richiede una costante attenzione da parte di istituzioni finanziarie e utenti, inclusa l’adozione di rigorose misure di sicurezza.
More_eggs: attacco spear-phishing per diffondere backdoor
More_eggs è una backdoor sofisticato distribuito come parte del toolkit Golden Chickens, un servizio malware-as-a-service (MaaS) utilizzato da gruppi finanziariamente motivati come FIN6 e Cobalt Group. La sua strategia di distribuzione si basa su attacchi mirati di spear-phishing, spesso rivolti a dipendenti di aziende attraverso messaggi e-mail che fingono di essere offerte di lavoro o documenti correlati al business.
Modalità d’attacco e diffusione
Un recente caso ha coinvolto un’azienda il cui responsabile del reclutamento è stato ingannato da un’e-mail di spear-phishing inviata da un finto candidato chiamato “John Cboins”. L’e-mail conteneva un file ZIP denominato “John Cboins.zip” che includeva un file .LNK e un’immagine apparentemente innocua. Cliccando sul file .LNK, un comando nascosto eseguiva una serie di istruzioni che portavano al download e all’esecuzione del backdoor More_eggs.
Il malware utilizza componenti legittimi del sistema operativo Windows, come la WMI Command-Line (WMIC) Utility, per eseguire comandi dannosi senza destare sospetti. Una volta installata, la backdoor si collega a un server Command and Control (C2) per scaricare ed eseguire ulteriori payload, tra cui software per il furto di informazioni o ransomware.
La squadra MDR (Managed Detection and Response) di Trend Micro ha sfruttato la piattaforma Vision One per identificare e contenere la minaccia rapidamente. Sono stati utilizzati filtri e modelli personalizzati per rilevare attività sospette, bloccando i file associati e isolando i dispositivi infetti.
More_eggs è una minaccia in continua evoluzione, con attacchi riscontrati a partire dal 2017 e campagne che si sono evolute negli anni, prendendo di mira vari settori, inclusi finanza, risorse umane e ospitalità. La sua capacità di sfruttare strumenti legittimi di Windows rende difficile la rilevazione da parte di soluzioni di sicurezza tradizionali, richiedendo quindi sistemi avanzati di rilevamento delle minacce.
Le nuove minacce Octo2 e More_eggs nel panorama della sicurezza informatica
Le minacce Octo2 e More_eggs rappresentano due esempi di attacchi sempre più sofisticati nel panorama della sicurezza informatica. Da un lato, Octo2 minaccia la sicurezza bancaria e degli utenti Android, con la sua capacità di intercettare dati e comunicazioni. Dall’altro, More_eggs utilizza attacchi di spear-phishing mirati per infiltrarsi nei sistemi aziendali e agire come backdoor per altre attività malevole. Le aziende e gli utenti finali devono adottare misure di protezione avanzate e restare vigili contro queste nuove minacce.
