Due mesi fa, abbiamo scritto di una banda del malware che abbiamo soprannominato RATicate.
Questi criminali hanno attivamente diffuso una serie di Remote Access Trojans – nasce da qui il RAT nel loro nome – con l’obiettivo di ottenere un controllo quasi totale sui computer infetti, il tutto a distanza.
Come abbiamo spiegato allora, il termine RAT in gergo è molto comunemente associato a un malware che offre ai criminali l’accesso remoto alla tua webcam, di solito per scopi squallidi e voyeuristici.
In effetti, il nome RAT è stato originariamente coniato come metafora riferita sia ai criminali che distribuivano il malware sia al malware stesso.
Tuttavia pochi RAT hanno avuto un accesso segreto a webcam e schermate.
Strumenti di accesso remoto di questo tipo sono più comunemente conosciuti come bot, abbreviazione di robot software o zombi, perché rimangono fermi in attesa di ricevere l’ordine per poi scatenare il caos.
E quasi tutti gli zombi là fuori supportano, oltre a qualsiasi funzionalità integrata come il furto di file, l’acquisizione di schermate e lo snooping della webcam, un comando generico con il quale possono aggiornarsi e sostituirsi con un malware completamente nuovo, oppure scaricare e installare nuovo malware.
Come abbiamo scritto nel maggio 2020:
Le varianti RAT fornite da questo gruppo di truffatori includevano le famiglie di malware zombi Betabot, Lokibot, Formbook, AgentTesla, Netwire, Bladibindi e altro.
I SophosLabs hanno tenuto sotto controllo la squadra di RATicate dal loro ultimo report e hanno appena pubblicato un articolo di follow-up che descrive in dettaglio le nuove scoperte sul modo in cui la banda opera.
RATicate è ciò che chiamiamo un gruppo MaaS, abbreviazione di Malware-as-a-Service.
Il nuovo report fornisce una visione intrigante di quella che si potrebbe definire l’economia artigianale nel cyberunderground, dove diversi gruppi di truffatori si concentrano su diversi servizi di criminalità informatica.
Gli operatori di RATicate sembrano persino aver dato ai loro “clienti” nomi che abbiamo soprannominato actor_tags, come lanre, bill, aus, h0ly e pope.
Cambio nella consegna
Due mesi fa, abbiamo descritto come lo strumento di consegna del malware scelto da RATIcate fosse il programma di installazione NSIS, un toolkit legittimo e ampiamente utilizzato per il confezionamento di più applicazioni in un file singolo su cui è possibile fare un semplice doppio clic per l’installazione.
Gli installers di NSIS hanno il vantaggio, almeno per i criminali, di avere un’aria di legittimità: molti prodotti software usano NSIS, quindi usarlo per confezionare un malware significa nasconderlo in bella vista.
Ma il rovescio della medaglia è che gli installer del NSIS non sono nati per essere subdoli o offuscati: in base alla progettazione, sono destinati a seguire un formato ben definito, cosa che rende relativamente facili per i ricercatori della sicurezza estrarli e analizzarli.
I RATicaters hanno aggirato questo problema riempiendo i loro installer di file esca, inclusi documenti di testo, codice sorgente, script Python, immagini, dati XML e file di programma legittimi (EXE e DLL) che non sono dannosi e potrebbero essere ragionevolmente previsti in un vero installer.
Indovinate un po’?
La squadra di RATicate recentemente è passata a un tipo più subdolo di software packer che ha fatto di tutto per rendere difficile l’analisi e l’estrazione dei contenuti incorporati.
Sfortunatamente, il packer che hanno scelto – originariamente soprannominato GuLoader – si è rivelato essere uno strumento di offuscamento del software commerciale noto come CloudEyE.
Si potrebbe immaginare che qualsiasi tipo di sistema di offuscamento del software chiaramente progettato per rendere difficile testare e analizzare il comportamento di un programma dovrebbe essere bloccato per impostazione predefinita. Ma i vendor di software legittimi usano spesso strumenti di protezione del software come modo per tenere fuori hacker e pirati, quindi vietare apertamente tutti i programmi “packed” impedirebbe anche a molte applicazioni tradizionali di funzionare.
Vi invitiamo a leggere il report dei SophosLabs per scoprire il seguito della nostra storia – con gli operatori di CloudEyE forzati dalla pressione del settore a chiudere circa un mese fa …
… solo per riaprire il loro servizio di cifratura del codice lo scorso fine settimana con una promessa nuova di zecca di una maggiore responsabilità e una chiusura più rapida dei “account canaglia”.
Come andrà a finire, solo il tempo lo dirà.
Leave a Reply