Nel maggio 2024, il team di Cleafy Labs ha segnalato nuove attività di frode legate al trojan bancario Medusa (TangleBot), che è stato al centro dell’attenzione per quasi un anno.
Medusa, una famiglia di malware RAT scoperta nel 2020, è nota per il suo keylogger, controlli sullo schermo e la capacità di gestire SMS, facilitando la cosiddetta On-Device Fraud (ODF).
Le nuove caratteristiche del malware Medusa
Recentemente sono state scoperte differenze tra i nuovi e i vecchi campioni di Medusa, come permessi ridotti e nuove funzionalità, tra cui la visualizzazione di overlay a schermo intero e la disinstallazione remota delle app.
“Analizzando l’evoluzione dei campioni Medusa negli ultimi mesi, è chiaro che gli attori mirano a migliorare l’efficienza delle funzionalità disponibili e, contemporaneamente, a rafforzare la botnet tramite il refactoring dei permessi richiesti durante la fase di installazione.” si legge nel rapporto. “A causa del modello MaaS (Malware-as-a-Service) portato avanti da Medusa, questa fase di “ottimizzazione” potrebbe essere influenzata da vari fattori. L’ingresso di nuovi affiliati ha probabilmente spinto gli sviluppatori a creare varianti meno rilevabili, potenzialmente per testarne l’affidabilità in regioni geografiche inesplorate in precedenza.“.
L’analisi di Cleafy ha rivelato che gli sviluppatori hanno rimosso 17 comandi dalla versione precedente del malware aggiungendone cinque nuovi (destroyo, permdrawover, setoverlay, take_scr, update_sec) riflettendo una chiara volontà di volersi concentrare su funzionalità essenziali ma di maggiore impatto e che ne garantiscano l’efficacia eludendo il rilevamento.
I due cluster
I ricercatori hanno scoperto diverse campagne che utilizzavano il malware e le hanno attribuite a cinque botnet distinte suddivise in due cluster rispettivamente di 4 botnet (AFETZEDE, ANAKONDA, PEMBE e TONY) e una botnet (UNKN) che diffondevano dropper attraverso false procedure di aggiornamento di false app (Inat TV, Chrome, Purolator, 4k SPORT) prendendo di mira con target nazionali noti come Turchia e Spagna, Francia e Italia.
Restare vigili
Queste scoperte evidenziano l’evoluzione continua delle minacce cibernetiche e l’importanza di una vigilanza costante.
“La combinazione di permessi ridotti, diversificazione geografica e sofisticati metodi di distribuzione sottolineano la natura in evoluzione di Medusa.“, concludono Federico Valentini e Simone Mattia di Cleafy. “Mentre gli AT affinano le loro tattiche, gli esperti di sicurezza informatica e gli analisti antifrode devono rimanere vigili e adattare le proprie difese per contrastare queste minacce emergenti.”