Gli operatori del malware Purple Fox sono di nuovo attivi sulla scena del cyber crimine con un arsenale arricchito di un nuovo trojan ad accesso remoto ribattezzato FatalRAT, la cui caratteristica è quella di nascondersi negli installer di applicazioni lecite e passare inosservati ai controlli dei sistemi antivirus grazie a sofisticati meccanismi di evasione.
Secondo i ricercatori di Trend Micro che hanno avvistato i primi campioni della nuova variante del malware, i file di installazione manomessi vengono distribuiti online per infettare il maggior numero possibile di utenti e allargare, così, l’infrastruttura della botnet costruita grazie alle funzionalità di trojan di FatalRAT.
“Il ritorno di Purple Fox è preoccupante”, mette in guardia Pierguido Iezzi, esperto di cyber security e CEO di Swascan, “sintomo di un fenomeno più ampio e per cui sono necessari nuovi e più innovativi paradigmi di difesa”.
Ecco perché il nuovo vettore d’attacco è temibile e come mitigare il rischio.
Indice degli argomenti
I dettagli del trojan FatalRAT
“Il malware”, continua Iezzi, “in passato diffuso anche attraverso Telegram, come molti Remote access trojan di ultima generazione, è in grado di fare leva sia su vulnerabilità tecnologiche sia sul fattore umano. Ma non è un caso limitato a Purple Fox”.
Inoltre, per distribuire backdoor non si traveste solo da Telegram, ma anche da installer di applicazioni come WhatsApp, Adobe Flash Player e Google Chrome.
Il vettore d’attacco
“Le macchine degli utenti sono nel mirino di pacchetti software trojanizzati per mascherarsi come installer di legittime applicazioni” avverte Trend Micro in un report del 25 marzo: “Gli installer”, mascherati da programmi famosi e dunque all’apparenza leciti, “sono attivi online”, in modo da indurre ignari utenti a scaricarli, e così “ottimizzare l’infrastruttura botnet”, conclude Trend Micro.
Ecco cosa sappiamo di FatalRAT:
- usa linguaggio C++;
- esegue istruzioni;
- esfiltra di nuovo dati da remoto.
Inoltre, i criminal hacker effettuano update incrementali per aggiornare, via via, la backdoor con nuove funzionalità.
Il modulo rootkit
Come se non bastasse, l’arsenale di Purple Fox arricchito con il trojan FatalRAT è stato ulteriormente ingegnerizzato con un modulo rootkit che consente ai criminal hacker di:
- copiare e cancellare informazioni dal kernel;
- attivare meccanismi di elusione dei software antivirus;
- intercettare le chiamate spedite al file system.
Come proteggersi da FatalRAT
“Il continuo affilare le armi da parte dei criminal hacker e la loro abilità nel diversificare canali e metodologie di attacco richiede un ripensamento, anzi, un’evoluzione di come viene intesa la cyber security”, sottolinea ancora Pierguido Iezzi.
Infatti, “bisogna giocare d’anticipo; e questo è unicamente possibile tramite una strategia di difesa che si appoggia sulla security by detection e by reaction”. E ciò significa, continua Iezzi, “implementare – in primis – un monitoraggio attivo e continuo di ogni possibile anomalia che potrebbe impattare il perimetro della nostra organizzazione”.
“Questo è possibile solo attraverso l’adozione di un SOC e di strutture di Incident Response, ovviamente italiane come ci insegnano gli ultimi risvolti di geopolitica.
Infine, conclude Iezzi, “a questa attività è fondamentale affiancare il monitoraggio preventivo delle minacce – possibile unicamente attraverso la Threat intelligence (TI). Non a caso Purple Fox si diffonde e propaga tramite Botnet“. Dunque, “senza la TI è impossibile prevedere e monitorare“.
