(Roma, 11 settembre 2018) - I ricercatori del GReAT (Global Research and Analysis Team) di Kaspersky Lab hanno rilevato diverse infezioni causate da un Trojan prima sconosciuto che, molto probabilmente, è legato al famigerato autore di minacce di lingua cinese LuckyMouse. La caratteristica più importante di questo malware è il suo driver autonomo e firmato con un certificato digitale legittimo, rilasciato da un'azienda che sviluppa software per la sicurezza delle informazioni.

Il gruppo LuckyMouse è noto per cyberattacchi altamente targhettizzati e rivolti a grandi realtà in tutto il mondo. L'attività del gruppo rappresenta un pericolo per intere regioni, inclusa l'Asia sud-orientale e centrale; i loro attacchi, infatti, sembrano seguire l'agenda politica dei vari paesi. Avendo preso in esame il profilo delle vittime e i precedenti vettori di attacco del gruppo, i ricercatori di Kaspersky Lab ipotizzano che il Trojan da loro individuato possa essere stato utilizzato per azioni di cyberspionaggio sostenute da uno stato-nazione.

Il Trojan scoperto dagli esperti di Kaspersky Lab ha infettato un computer di destinazione attraverso un driver creato appositamente dagli autori della minaccia; questa azione ha permesso agli attaccanti di eseguire tutti i task più comuni, come l'esecuzione di comandi, il download e l’upload di file, e di intercettare il traffico di rete.

Il driver si è rivelato la parte più interessante di questa campagna. Per renderlo più affidabile, il gruppo ha apparentemente rubato un certificato digitale, che appartiene ad uno sviluppatore di software per la sicurezza delle informazioni, e l'ha utilizzato per firmare campioni di malware. Tutto questo è stato fatto nel tentativo di aggirare le capacità di rilevamento dalle soluzioni di sicurezza, dal momento che una firma legittima rende il malware simile ad un software legale.

Un'altra caratteristica degna di nota di questo driver riguarda il fatto che, nonostante LuckyMouse sia in grado di creare da sé un proprio software malevolo, il programma utilizzato in questo tipo di attacco sembrava, invece, essere il risultato di una combinazione di campioni di codice disponibili pubblicamente, provenienti da archivi pubblici e da malware personalizzati. La semplice adozione di un codice di terze parti “ready-to-use” - al posto della scrittura di un nuovo codice originale - fa risparmiare tempo agli sviluppatori e rende più difficile l'attribuzione.

"Le nuove campagne LuckyMouse avvengono quasi sempre in contemporanea con la presentazione di eventi politici di alto profilo e le tempistiche dell’attacco di solito precedono i summit dei leader mondiali. L'autore della minaccia non si preoccupa di una possibile attribuzione, dal momento che il gruppo sta implementando all’interno dei suoi programmi campioni di codice di terze parti, operazione che non richiede molto tempo e che permette di aggiungere ulteriori livelli ai loro dropper o di sviluppare una modifica per il malware, restando comunque non rintracciabile", ha commentato Denis Legezo, Security Research di Kaspersky Lab.

Di recente Kaspersky Lab ha segnalato l'attacco da parte di LuckyMouse ad un data center a livello nazionale per l’organizzazione di una campagna di tipo “watering hole”.

Come proteggersi da questo tipo di attacchi:

• Non fidarsi in modo automatico del codice in esecuzione sui propri sistemi. I certificati digitali non garantiscono l'assenza di backdoor.

• Utilizzare una soluzione di sicurezza solida, dotata di tecnologie di rilevamento di azioni malevole basate sul comportamento, in grado di scoprire anche minacce ancora sconosciute.

• Iscrivere il team di sicurezza della propria organizzazione ad un servizio di alta qualità di reporting di intelligence delle minacce, per ottenere accesso immediato alle informazioni sugli sviluppi più recenti delle tattiche, delle tecniche e delle procedure di sofisticati autori di minacce informatiche.

Per saperne di più, è disponibile un report completo su Securelist.com.

Informazioni su Kaspersky Lab

Kaspersky Lab è un’azienda di sicurezza informatica a livello globale che opera nel mercato da oltre 20 anni. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi di nuova generazione per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it

Seguici su:

https://twitter.com/KasperskyLabIT

http://www.facebook.com/kasperskylabitalia

https://plus.google.com/+KasperskyItKL

https://www.linkedin.com/kasperskylabitalia

https://t.me/KasperskyLabIT

Contatto di redazione:

Noesis Cristina Barelli e Valentina Carabelli kaspersky@noesis.net02 8310511 Via Savona, 19/AMilano

Kaspersky Lab ItaliaAlessandra Vennerialessandra.venneri@kaspersky.com06 58891031 - 3351980618Via F. Benaglia 13Roma


in evidenza
X Factor, Lodo Guenzi ad Affari 'Ho detto sì come giudice perché..'

Spettacoli

X Factor, Lodo Guenzi ad Affari
'Ho detto sì come giudice perché..'

Zurich Connect

Zurich Connect ti permette di risparmiare sull'assicurazione auto senza compromessi sulla qualità del servizio. Scopri la polizza auto e fai un preventivo

Abiti sartoriali da Uomo, Canali

Dal 1934 Canali realizza raffinati abiti da uomo di alta moda sartoriale. Scopri la nuova collezione Canali.


RICHIEDI ONLINE IL TUO MUTUO
Finalità del mutuo
Importo del mutuo
Euro
Durata del mutuo
anni
in collaborazione con
logo MutuiOnline.it
Testata giornalistica registrata - Direttore responsabile Angelo Maria Perrino - Reg. Trib. di Milano n° 210 dell'11 aprile 1996 - P.I. 11321290154

© 1996 - 2018 Uomini & Affari S.r.l. Tutti i diritti sono riservati

Per la tua pubblicità sul sito: Clicca qui

Contatti

Cookie Policy

Affaritaliani, prima di pubblicare foto, video o testi da internet, compie tutte le opportune verifiche al fine di accertarne il libero regime di circolazione e non violare i diritti di autore o altri diritti esclusivi di terzi. Per segnalare alla redazione eventuali errori nell'uso del materiale riservato, scriveteci a segnalafoto@affaritaliani.it: provvederemo prontamente alla rimozione del materiale lesivo di diritti di terzi.