I nostri esperti hanno trovato tracce dell\u2019attivit\u00e0 di un nuovo gruppo di cybercriminali che spia le grandi aziende industriali. I truffatori stanno compiendo attacchi mirati mediante uno strumento che i nostri ricercatori chiamano MontysThree, per andare alla ricerca di documenti sui computer delle vittime. Il gruppo sembra essere attivo almeno dal 2018.<\/p>\n
I criminali informatici utilizzano le classiche tecniche di spear phishing per penetrare nei computer delle vittime, inviando ai dipendenti delle aziende vittima delle e-mail contenenti file eseguibili camuffati da documenti in formato .pdf o .doc. Tali file di solito hanno nomi del tipo \u201cAggiornamento dati aziendali\u201d, \u201cSpecifiche tecniche\u201d, \u201cElenco dei numeri di telefono dei dipendenti 2019\u201d e simili. In alcuni casi, i criminali informatici cercano di far spacciare questi file come documenti medici, rinominandoli \u201cRisultati delle analisi mediche\u201d o \u201cInvitro-106650152-1.pdf\u201d (Invitro \u00e8 uno dei pi\u00f9 grandi laboratori medici russi).<\/p>\n
MontysThree sfrutta documenti specifici in formato Microsoft Office e Adobe Acrobat in varie directory e su supporti collegati. Dopo l\u2019infezione, il malware traccia il profilo del computer della vittima, inviando al suo server C&C<\/a> la versione del sistema, un elenco dei processi e schermate dal desktop, nonch\u00e9 elenchi di documenti aperti di recente con le estensioni .doc, .docx, .xls, .xlsx, .rtf, .pdf, .odt, .psw e .pwd nelle directory USERPROFILE e APPDATA.<\/p>\n I suoi creatori hanno implementato diversi meccanismi piuttosto insoliti per questo malware. Ad esempio, dopo l\u2019infezione, il modulo downloader estrae e decodifica il modulo principale, che viene cifrato in un\u2019immagine utilizzando la steganografia<\/a>. I nostri esperti ritengono che i criminali informatici abbiano scritto l\u2019algoritmo steganografico da zero, che non l\u2019abbiano semplicemente copiato da campioni open source, come avviene pi\u00f9 comunemente.<\/p>\n Il malware comunica con il server C&C utilizzando servizi cloud pubblici come Google, Microsoft, Dropbox e WebDAV. Inoltre, il modulo di comunicazione pu\u00f2 effettuare richieste tramite RDP e Citrix. Per di pi\u00f9, i creatori del malware non hanno incorporato nel loro codice alcun protocollo di comunicazione: MontyThree utilizza invece programmi legittimi (RDP, client Citrix, Internet Explorer).<\/p>\n Per mantenere il malware nel sistema della vittima il pi\u00f9 a lungo possibile, un modulo ausiliario modifica i collegamenti sul pannello di avvio rapido di Windows, e quando l\u2019utente lancia un collegamento (ad esempio su un browser), il modulo di caricamento di MontyThree viene eseguito contemporaneamente.<\/p>\n I nostri esperti non vedono alcun segno che colleghi i creatori di MontysThree ad attacchi passati. A quanto pare, si tratta di un gruppo di criminali informatici completamente nuovo e, a giudicare dai segmenti di testo del codice, la loro lingua madre \u00e8 il russo. Allo stesso modo, i loro obiettivi principali sono probabilmente le aziende di lingua russa: alcune delle directory in cui il malware si infiltra esistono solo nella versione del sistema in alfabeto cirillico. Sebbene i nostri esperti abbiano anche trovato dettagli di account per servizi di comunicazione che suggeriscono un\u2019origine cinese, credono che si tratti di false segnalazioni destinate a nascondere le tracce dei criminali informatici.<\/p>\n Una descrizione tecnica dettagliata di MontysThree, insieme agli indicatori di compromissione<\/a>, sono disponibili nel nostro post su Securelist.<\/p>\n Innanzitutto, ricordate ancora una volta a tutti i dipendenti che gli attacchi mirati il pi\u00f9 delle volte iniziano con un\u2019e-mail, per cui devono essere estremamente cauti nell\u2019aprire tutti i file, soprattutto se inattesi. Per essere doppiamente sicuri che abbiano capito perch\u00e9 devono stare all\u2019erta, raccomandiamo non solo di spiegare i pericoli di tale comportamento, ma anche di potenziare le loro capacit\u00e0 di contrastare le moderne minacce informatiche utilizzando il nostro servizio Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n\nCos\u2019altro pu\u00f2 fare MontysThree?<\/h2>\n
Chi sono i cybercriminali?<\/h2>\n
Cosa fare<\/h2>\n