Fortinet Scopre un Attacco Email Multilivello: Malware RAT in Azione

Fortinet, tramite il suo team di ricerca FortiGuard Labs, ha rilevato e analizzato una serie di attacchi email multilivello sempre più sofisticati, volti a distribuire malware Remote Access Trojan (RAT) e a compromettere le reti aziendali e personali. Queste campagne di cybercriminali si distinguono per l'utilizzo di tecniche avanzate di ingegneria sociale e catene di infezione complesse.

La Tattica dell'Attacco Multilivello:

Le campagne osservate da FortiGuard Labs spesso iniziano con email di phishing, accuratamente elaborate per ingannare le vittime. Queste email possono essere mascherate da comunicazioni legittime, come fatture PDF, avvisi fiscali o aggiornamenti di sicurezza. L'obiettivo è spingere l'utente ad aprire un allegato o a cliccare su un link malevolo.

Una volta che l'utente interagisce con l'elemento malevolo, si innesca una catena di infezione a più stadi. In alcuni casi, l'allegato è un file Excel contenente macro malevole. Quando queste macro vengono abilitate, avviano il download e l'esecuzione di un trio di malware RAT sul sistema della vittima.

I Malware RAT Coinvolti:

FortiGuard Labs ha identificato diversi Remote Access Trojan (RAT) utilizzati in queste campagne, tra cui:

• AveMariaRAT (conosciuto anche come Warzone RAT): Questo RAT è noto per le sue capacità di controllo remoto e furto di informazioni.

• Pandora hVNC RAT: Sviluppato in C# e basato su Microsoft .Net framework, è specializzato nel furto di credenziali da browser popolari come Chrome, Microsoft Edge, Firefox e client di posta elettronica come Outlook e Foxmail.

• BitRAT: Descritto come un RAT "di alta qualità ed efficiente", offre funzionalità complete per la raccolta di informazioni (logger di appunti, keylogger, credenziali di applicazione, registrazione webcam e vocale) e ampi comandi di controllo del dispositivo della vittima, inclusi download ed esecuzione di file, controllo remoto del desktop, gestione di processi e servizi, e reverse socks. BitRAT è versatile e utilizzato in diverse operazioni, dalle campagne di phishing a software trojanizzati.

Questi RAT non solo rubano informazioni sensibili, ma consentono anche agli attaccanti di mantenere un controllo persistente sui dispositivi compromessi, potendo accedere ai dati, spiare le attività della vittima e persino utilizzare il computer per ulteriori attività malevole.

Tecniche e Prevenzione:

Gli attaccanti in queste campagne utilizzano diverse tecniche per evadere il rilevamento, come l'offuscamento del codice, l'uso di pacchetti software "leggeri" con pochi file, e la manipolazione di setup.py per raccogliere dettagli di sistema come indirizzi MAC e credenziali utente, inviandoli a server remoti.

Per proteggersi da questi attacchi multilivello, Fortinet e altri esperti di sicurezza raccomandano le seguenti misure:

• Formazione sulla Consapevolezza del Phishing: Educare gli utenti a riconoscere e segnalare email sospette. Prestare estrema attenzione agli allegati non richiesti, specialmente se richiedono l'abilitazione di macro.

• Aggiornamenti Regolari: Mantenere il sistema operativo, i browser, il software antivirus e tutte le applicazioni sempre aggiornate per beneficiare delle ultime patch di sicurezza.

• Antivirus e Soluzioni EDR: Utilizzare soluzioni antivirus e di Endpoint Detection and Response (EDR) con capacità di analisi comportamentale per rilevare minacce emergenti.

• Autenticazione a Due Fattori (2FA): Abilitare la 2FA per tutti gli account online, in particolare per i servizi critici.

• Backup Dati: Eseguire backup regolari dei dati importanti su supporti esterni o cloud storage sicuri.

L'evoluzione delle tattiche di attacco, come quelle basate su email multilivello e RAT sofisticati, sottolinea la necessità di una difesa a strati e di una vigilanza costante per proteggere le reti e i dati.