Nel panorama sempre mutevole della sicurezza informatica, una nuova minaccia si sta facendo strada, sfruttando tecniche sofisticate per eludere i sistemi di protezione: il malware Poco RAT, recentemente scoperto dai ricercatori di Cofense, sta destando preoccupazione per la sua capacità di sfruttare file 7zip ospitati su Google Drive come vettore di attacco.
Questo nuovo Remote Access Trojan (RAT) ha fatto la sua comparsa all’inizio del 2024, prendendo di mira principalmente utenti di lingua spagnola nel settore minerario, manifatturiero, alberghiero e dei servizi pubblici.
La peculiarità di Poco RAT risiede nella sua abilità di celarsi all’interno di archivi compressi, rendendo arduo il compito dei software antivirus nel rilevare la minaccia.
Indice degli argomenti
I dettagli tecnici di Poco RAT
Le catene di infezione iniziano con messaggi di phishing con esche a tema finanziario che inducono le ignare vittime a cliccare su un URL incorporato che punta a un file di archivio 7-Zip ospitato su Google Drive.
Una tattica non nuova, quella di abusare di servizi legittimi, che consente ai criminali informatici di aggirare i gateway di posta elettronica sicuri (SEG) che, come sappiamo, sono tipi di server e-mail che proteggono gli altri server e-mail interni di un’organizzazione o di un utente e attraverso i quali passano tutte le e-mail, sia in entrata che in uscita, al fine di bloccare quelle indesiderate e consegnare quelle idonee.
In particolare, la strategia di diffusione di Poco RAT si basa su tre metodologie principali:
- link diretti a Google Drive negli email (53% dei casi);
- collegamenti incorporati in file HTML (40%);
- URL nascosti all’interno di documenti PDF (7%).
L’utilizzo di documenti in formato PDF si rivela potenzialmente il metodo più insidioso, dato che questi file sono spesso considerati innocui dai sistemi di sicurezza.
Dal punto di vista tecnico, Poco RAT si distingue per l’impiego delle librerie POCO C++, presentandosi come un malware basato su Delphi. Grazie alle sue capacità di occultare la propria natura attraverso metadati elaborati, il tasso di rilevamento medio si attesta intorno al 38% per gli eseguibili e al 29% per gli archivi.
Una volta infiltratosi nel sistema, il malware stabilisce la propria persistenza mediante chiavi di registro e si inietta nel processo legittimo grpconv.exe. La comunicazione con il server di comando e controllo (C2), apparentemente dislocato a Bucarest, in Romania, avviene su porte specifiche attraverso l’indirizzo IP 94.131.119.126.
Secondo i ricercatori che hanno analizzato i campioni di Poco RAT, le funzionalità primarie del malware si concentrano soprattutto sulla raccolta di informazioni ambientali, ma la sua capacità di scaricare ed eseguire ulteriore malware rappresenta una seria minaccia, potendo portare a compromissioni di sistema più gravi.
Consigli per mitigare il rischio
L’utilizzo di librerie open source popolari e processi legittimi da parte di Poco RAT dimostra il tentativo degli attaccanti di mimetizzare le proprie attività all’interno delle normali operazioni di sistema, rendendo più complessa l’identificazione della minaccia.
Questo sottolinea l’importanza di mantenere un approccio proattivo alla sicurezza informatica.
Le organizzazioni dovrebbero, quindi, rimanere vigili e aggiornare costantemente le proprie difese per contrastare queste minacce emergenti e sofisticate.
Altrettanto importante è organizzare attività periodiche di formazione per aggiornare gli utenti aziendali su tutte le nuove minacce e sui rischi a cui sono esposti e che mettono a repentaglio l’integrità e la disponibilità dei dati aziendali.
