RAT distribuiti tramite false piattaforme per video conferenze

I ricercatori di ThreatLabz di Zscaler hanno scoperto un attore di minacce che creava siti web fraudolenti che impersonano le piattaforme Skype, Google Meet e Zoom per diffondere malware come SpyNote RAT su Android e NjRAT e DCRat sui sistemi Windows.

Web hosting condiviso

L’attore avrebbe utilizzato un web hosting condiviso, ospitando tutti i siti falsi su un unico indirizzo IP (162.19.232[.]160). In tutti i casi riscontrati i siti erano scritti in lingua russa e per scaricare il software desiderato, gli utenti dovevano cliccare sui pulsanti Android o Windows.

  • join-skype[.]info
  • online-cloudmeeting[.]pro
  • us06webzoomus[.]pro

Secondo lo schema di figura “Quando un utente visita uno dei siti falsi, facendo clic sul pulsante Android avvia il download di un file APK dannoso, mentre facendo clic sul pulsante Windows avvia il download di un file BAT. Il file BAT, quando eseguito, esegue azioni aggiuntive, portando infine al download di un payload RAT.” , si legge nel rapporto.

Ad esempio la pagina Zoom falsa scoperta induceva a scaricare, dal pulsante Google Play, un file APK (Zoom02.apk) contenente SpyNote RAT mentre dal pulsante Windows un file BAT (updateZoom20243001bit.bat), che rilasciava il payload DCRat (ZoomDirectUpdate.exe).

Questi domini contenevano anche una directory aperta con file eseguibili NjRAT (driver.exe e meet.exe), che secondo i ricercatori potrebbero essere stati utilizzati anche in altre campagne. 

 

Prestare attenzione

Gli aggressori hanno distribuito più famiglie di malware utilizzando questi siti Web falsi, rappresentando una minaccia significativa. La notizia arriva dopo che già da due settimane il Cert-AgID avvisa che continuano in Italia gli attacchi ai dispositivi Android sfruttando il malware Spynote. Tali campagne, lo ricordiamo possono avere serie conseguenze. I RAT infatti possono compromettere i dispositivi, consentendo agli attaccanti di rubare informazioni sensibili e controllare il dispositivo infetto. Per proteggersi oltre ad avere una buona soluzione di sicurezza sia per PC che per dispositivi mobile bisogna sempre fare attenzione ai siti web che si visitano, verificare gli inviti ai meeting online che si ricevono e scaricare applicazioni da fonti ufficiali.

Su Salvatore Lombardo 192 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.