Nel novembre 2019, le tecnologie di Kaspersky hanno rilevato un nuovo malware rivolto agli enti diplomatici in Europa, veicolato attraverso un dropper contenuto in un modulo contraffatto per la richiesta di un visto.
Ulteriori analisi hanno suggerito agli esperti che questo spyware utilizza lo stesso codice sorgente delfamigerato COMPFun.
Lo spyware viene diffuso attraverso i dispositivi delle vittime per raccogliere informazioni sensibili e trasmetterle agli autori della minaccia. Questo spyware viene ampiamente utilizzato da varie APT e la sua pericolosità è proporzionata alla tipologia di vittima a cui è destinato: sia che si tratti di servizi governativi o di infrastrutture critiche, le informazioni raccolte potrebbero avere un valore enorme per i criminali informatici e provocare danni ingenti ai settori colpiti.
Il codice del malware rilevato presenta forti analogie con quello di COMPFun, che gli esperti avevano osservato per la prima volta nel 2014. Nel 2019 è stato rilevato Reductor, un malware identificato come il successore di COMPfun. Le funzioni del nuovo Trojan includono la possibilità di geolocalizzare la vittima, raccogliere i dati di host e reti e fare keylogging e screenshot. Secondo gli esperti di Kaspersky, si tratta a tutti gli effetti di un trojan capace di propagarsi anche su dispositivi rimovibili. Il dropper nella fase iniziale, viene scaricato dalla rete locale condivisa e rinominato con lo stesso nome del file relativo al processo di richiesta di visto, nome che corrisponde a quello dell’ente diplomatico oggetto dell’attacco. La richiesta di visto legittima viene criptata all'interno del dropper, insieme al malware della fase successiva a 32 e 64 bit.
Basandosi sull'analisi delle vittime, Kaspersky ritiene che il malware originale COMPfun possa essere associato quasi sicuramente all’APT Turla.
"Poiché il vettore iniziale d'infezione si era dimostrato valido, gli sviluppatori del malware hanno continuato a rivolgere la loro attenzione alle entità diplomatiche utilizzando ancora una volta la richiesta di visto, memorizzata in una directory condivisa all’interno della rete locale, come veicolo dell’infezione. L'approccio personalizzato sulla base degli obiettivi, insieme alla capacità di generare ed eseguire le proprie strategie, hanno contribuito a rendere gli sviluppatori di COMPFun una minaccia molto pericolosa", ha dichiarato Kurt Baumgartner, principal security researcher di Kaspersky.
- Per proteggere le organizzazioni da minacce come COMPfun, Kaspersky raccomanda di:
- Eseguire regolari audit di sicurezza dell'infrastruttura IT dell'organizzazione.
- Utilizzare una soluzione di sicurezza affidabile per gli endpoint, come Kaspersky Endpoint Security for Business che comprende la protezione dei file contro le minacce informatiche. Aggiornare la soluzione all’ultima versione disponibile in modo da rilevare anche le minacce più recenti.
- Per il rilevamento a livello di endpoint, le indagini e il tempestivo ripristino degli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
- Oltre ad adottare una protezione per gli endpoint, implementare una soluzione di sicurezza di livello aziendale in grado di rilevare tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
- Fornire ai team SOC l'accesso alla più recente Threat Intelligence, in modo che siano sempre aggiornati sugli strumenti, le tecniche e le tattiche, nuove ed emergenti, utilizzate dagli autori delle minacce e dai criminali informatici.
Maggiori dettagli sono disponibili su Securelist.
