Comunicato stampa
153KB
giugno 03, 2022 - Kaspersky
Kaspersky: il malware WinDealer mostra funzionalità di rete estremamente sofisticate
Milano, 3 giugno 2022
I ricercatori di #kaspersky hanno scoperto che il #malware soprannominato #windealer, diffuso da LouYu, il gruppo APT (Advanced Persistent Threat) di lingua cinese, è in grado di eseguire intrusioni attraverso un attacco man-on-the-side. Questo sviluppo innovativo consente al gruppo di modificare il traffico di rete in transito per inserire payload dannosi. Tali attacchi sono particolarmente pericolosi e devastanti perché non richiedono alcuna interazione con l’obiettivo per portare a termine in modo efficace l’infezione.
In seguito alle scoperte del TeamT5, i ricercatori di #kaspersky hanno individuato un nuovo modello di distribuzione applicato dagli operatori per diffondere il #malware #windealer. In particolare, hanno usato un attacco man-on-the-side per leggere il traffico e inserire nuovi messaggi. Un attacco man-on-the-side prevede che nel momento in cui l’attaccante rileva la richiesta di una risorsa specifica sulla rete (grazie alle sue capacità di intercettazione o alla posizione strategica sulla rete dell’ISP), cerca di rispondere alla vittima più velocemente del server legittimo. Se l’attaccante vince la “gara” il computer di destinazione utilizzerà i dati forniti dall’aggressore invece di quelli legittimi. Anche se gli attaccanti non vincono la maggior parte delle “gare”, possono riprovare finché non hanno successo, riuscendo ad infettare la buona parte dei dispositivi.
A seguito di un attacco, il dispositivo colpito riceve un’applicazione spyware in grado di raccogliere una quantità elevata di informazioni. Gli attaccanti sono in grado di visualizzare e scaricare qualsiasi file memorizzato sul dispositivo e di eseguire una ricerca per parole chiave su tutti i documenti. In generale, LouYu prende di mira le organizzazioni diplomatiche straniere con sede in Cina e i membri della comunità accademica, nonché le aziende di difesa, logistica e telecomunicazioni. I criminali utilizzano #windealer per attaccare i dispositivi Windows.
In linea di massima, il #malware contiene un server di comando e controllo hardcoded dal quale l’operatore malintenzionato controlla l’intero sistema. Grazie alle informazioni sul server, è possibile bloccare l’indirizzo IP delle macchine con cui il #malware interagisce, neutralizzando la minaccia. Tuttavia #windealer si basa su un complesso algoritmo di generazione di IP per determinare quale dispositivo contattare. Questo include una gamma di 48.000 indirizzi IP, rendendo quasi impossibile per l’operatore controllare anche solo una piccola parte degli indirizzi. L’unico modo per spiegare questo comportamento di rete apparentemente impossibile è ipotizzare che gli attaccanti dispongano di notevoli capacità di intercettazione su questo intervallo di IP e possano persino leggere i pacchetti di rete che non raggiungono alcuna destinazione.
L'attacco man-on-the-side è particolarmente devastante perché non richiede alcuna interazione con l’obiettivo per portare a termine l’infezione: è sufficiente avere un dispositivo connesso a #internet. Inoltre, gli utenti per proteggersi possono solo indirizzare il traffico attraverso un’altra rete. Questo può essere fatto con una VPN, anche se si tratta di un’opzione non valida per tutti i territori, e in ogni caso non sarebbe disponibile per i cittadini cinesi.
La stragrande maggioranza delle vittime di LouYu si trova in Cina, pertanto gli esperti di #kaspersky ritengono che l’APT LouYu si concentri prevalentemente su vittime di lingua cinese e su organizzazioni legate alla Cina. Tuttavia, i ricercatori di #kaspersky hanno notato attacchi anche in altri Paesi, tra cui Germania, Austria, Stati Uniti, Repubblica Ceca, Russia e India.
Distribuzione geografica degli attacchi WinDealer
“LouYu è un threat actor estremamente sofisticato, in grado di sfruttare funzionalità disponibili solo agli attaccanti più esperti. Possiamo solo ipotizzare come siano riusciti a sviluppare tali capacità. Gli attacchi man-on-the-side sono estremamente distruttivi poiché l’unica condizione necessaria per attaccare un dispositivo è che questo sia connesso a #internet. Anche se l’attacco fallisce la prima volta, gli aggressori possono ripetere il processo più volte fino a quando non avranno successo. Gli attacchi possono avere come scopo lo spionaggio e sono estremamente pericolosi. Tra le vittime di questi attacchi in genere ci sono diplomatici, scienziati e dipendenti di altri settori chiave. Indipendentemente dal modo in cui l’attacco sia stato condotto, l’unico modo per le potenziali vittime di difendersi è rimanere estremamente vigili e disporre di solide procedure di #sicurezza, come scansioni antivirus regolari, analisi del traffico di rete in uscita e logging estese per rilevare le anomalie”, ha commentato #suguruishimaru, Senior Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.
Il report completo su #windealer è disponibile su Securelist.
Per proteggersi da una minaccia così avanzata #kaspersky consiglia di:
- Implementare procedure di #sicurezza robuste che prevedono scansioni antivirus regolari, analisi del traffico di rete in uscita e logging estese per rilevare le anomalie.
- Eseguire un audit di #cybersecurity delle reti e porre rimedio a qualsiasi punto debole scoperto sul perimetro o all’interno della rete.
- Installare soluzioni anti-APT e EDR che consentano la scoperta e il rilevamento delle minacce, l’indagine e la tempestiva riparazione degli incidenti. Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con una formazione professionale. Tutto questo è disponibile all’interno del framework #kaspersky Expert Security.
- Oltre a un’adeguata protezione degli endpoint, alcuni servizi dedicati possono aiutare a contrastare gli attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response può aiutare a identificare e bloccare gli attacchi nelle loro fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi.
- Rimanere aggiornati sulle nuove minacce per mantenere un elevato livello di #sicurezza dell’azienda. Threat Intelligence Resource Hub consente di accedere gratuitamente a informazioni indipendenti, costantemente aggiornate e di livello globale sugli attacchi informatici e le minacce in corso.
News correlate |
||
|
|
|
aprile 19, 2024
|
aprile 19, 2024
|
aprile 12, 2024
|
|
Focus sui nuovi rischi della funzione dirigenzialeStrumenti assicurativi personalizzati fondamentali per la gestione del rischioSi... |
Kaspersky presenta la nuova versione del sistema operativo per thin client che offre una connettività migliorata, una maggiore vel... |
In occasione della Milano Design Week, dal 15 al 21 aprile, l'innovativa e anticonformista Citroën AMI - 100% ëlectric si trasform... |
Scarica tutto 
Ti potrebbe interessare anche |
||
|
|
|
marzo 15, 2024
|
marzo 12, 2024
|
febbraio 23, 2024
|
|
Da sempre in prima fila nella promozione di una mobilità urbana smart e sostenibile, Citroën ha abbracciato sin da subito il proge... |
Kaspersky, leader globale nella sicurezza informatica, annuncia la nuova nomina di Maura Frusone a Head of B2B Sales, sottolineand... |
Secondo i test indipendenti TÜV SÜD, l'ultimo pneumatico touring invernale premium di Bridgestone è il migliore in termini di fren... |
Scarica tutto 
Condividi
Condividi via mail 
Automotive
Sport
Events
Art&Culture
Design
Fashion&Beauty
Food&Hospitality
Tecnologia
Nautica
Racing
Excellence
Corporate
OffBeat
Green
Gift
Pop
Heritage
Entertainment
Health & Wellness