Sicurezza

Malware per spiare dissidenti e amministratori delegati

Terminator RAT  diventò famoso l'anno scorso per esser stato usato contro i dissidenti tibetani Uiguri. Tramite una serie di vulnerabilità in vecchie versioni di Office, si infiltrava sui computer di personaggi "sensibili" e ne spiava le mosse per conto di non meglio precisate entità (presumibilmente governative e non molto liberali). 

Il malware provvede anche a cambiare la startup directory, per dare meno nell'occhio.

Adesso, il suo target è cambiato in quanto il suo sistema di propagazione sembra essere molto efficace per attaccare aziende da spiare. La sigla APT significa Advanced Persistent Threat e si riferisce a quegli attacchi destinati ad agenzie o aziende per fini di spionaggio industriale o governativo. Terminator RAT si è evoluto per entrare a far parte di questa categoria, dal momento che, a quanto pare, i complessi sistemi di sicurezza della maggior parte delle aziende trascura di controllare se nei file di Office si annidi qualche pezzetto di codice nato per sfruttare le vulnerabilità note della suite di Microsoft (e che basterebbe aggiornare per renderle immuni dalla maggior parte di questi attacchi).

RAT, quindi, si propaga via mail inviando in allegato a un normale messaggio un file di word strutturato per sfruttare la vulnerabilità nota come CVE-2012-0158. Quando il destinatario apre il file, il malware scarica un altro file dal web che si chiama "DW20.exe". A questo punto, nella cartella "%UserProfile%Microsoft" viene creata la sottodirectory "%AppData%2019" in cui RAT tiene i suoi file (SVCHost_.exe e sss.exe, giusto per cercare di confondersi con quelli di sistema).

Terminate le operazioni preliminari, il malware si cancella, chiude tutte le operazioni che lo riguardano e si limita a inserire una chiave nel registro di sistema che lo lancerà al prossimo riavvio della macchina. Questo sistema è molto efficace per evadere dalle sandbox create dai sistemi di sicurezza perché il malware diverrà attivo solo dopo il riavvio, quando userà sss.exe per collegarsi al suo server di controllo e attendere ordini.

Per completare le operazioni di "camuffamento", gonfierà anche la dimensione dei suoi file eseguibili fino a 40 MB, in modo da eludere la scansione da parte di quegli antivirus che implementano un limite alla dimensione dei file da analizzare. Non è ben chiaro come uno strumento "nato" per spiare dei dissidenti si sia trasformato in qualcosa che ha ben poco a che vedere con motivazioni politiche e governative. Probabilmente, chi ha avuto l'idea di spiare gli Uiguri, non ha fatto sviluppare il malware da una entità governativa, ma l’ha commissionato a degli hacker mercenari che adesso stanno "rivendendosi" il prodotto sul normale circuito criminale.