Il set di strumenti per lo spionaggio industriale MontysThree

Utilizza server cloud pubblici facendo uso di steganografia per occultarsi.



[ZEUS News - www.zeusnews.it - 10-10-2020]

MontysThree

Enti governativi, diplomatici e operatori delle telecomunicazioni sono il bersaglio preferito delle Apt (minacce persistenti avanzate) perché possiedono un patrimonio di informazioni politiche altamente confidenziali ed estremamente sensibili. Invece, le campagne di spionaggio mirate contro le realtà industriali sono molto più rare, ma, come ogni altro attacco contro il settore industriale, possono avere conseguenze devastanti per il business.

Per effettuare l'attività di spionaggio, MontysThree utilizza un programma malware composto da quattro moduli. Il primo è il loader, che si diffonde inizialmente utilizzando un file Rar Sfx (archivio auto-estraente) con i nomi relativi alle liste dicontatto dei dipendenti, la documentazione tecnica e i risultati di analisi mediche con lo scopo di indurre i dipendenti a scaricare i file, secondo una comune tecnica di spear phishing. Il compito fondamentale del loader è garantire che il malware non venga rilevato sul sistema e a tal fine utilizza una tecnica nota come steganografia.

La steganografia è una tecnica utilizzata dai criminali informatici per nascondere lo scambio di dati. Nel caso di MontysThree, il payload malevolo principale è occultato come file bitmap (un formato per l'archiviazione di immagini digitali). Dopo aver inserito il comando corretto, il loader utilizzerà un algoritmo personalizzato per decifrare il contenuto dall'array di pixel ed eseguire il payload dannoso.

Il payload dannoso principale utilizza diverse tecniche di encryption proprie per eludere il rilevamento. In particolare, utilizza l'algoritmo Rsa, che permette di crittografare le comunicazioni con il server di controllo e decrittografare i principali "task" assegnati dal malware.

Questo include la ricerca di documenti con estensioni specifiche e in particolari directory aziendali. MontysThree è progettato per prendere di mira i documenti Microsoft e Adobe Acrobat; può anche catturare screenshot e "impronte digitali", ossia raccogliere informazioni sulle impostazioni di rete, sul nome dell'host e molto altro.

Le informazioni raccolte e le altre comunicazioni con il server di controllo sono poi ospitate su servizi cloud pubblici come Google, Microsoft e Dropbox. Questo sistema rende difficile distinguere il traffico di comunicazione come dannoso e, poiché nessun antivirus blocca questi servizi, garantisce che il server di controllo possa eseguire comandi ininterrottamente.

MontysThree, inoltre, utilizza un modifier per Windows Quick Launch come metodo per ottenere la persistenza sul sistema infetto. Ogni volta che gli utenti utilizzano la barra degli strumenti di avvio rapido per eseguire applicazioni legittime come i browser, attivano a loro insaputa anche il modulo iniziale del malware.

I ricercatori di Kaspersky, analizzando questo tipo di attacchi mirati, non hanno riscontrato elementi comuni nel codice dannoso o nell'infrastruttura che corrispondessero ad altre Apt note.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)

Ma prima di aprire un file del genere un dubbio non ti viene? Ti fai pure mandare gli esiti delle tue analisi all'indirizzo mail del lavoro? A me sono alcuni mesi che continuano ad arrivare mail da un fantomatico medico che mi invia le mie prescrizioni digitali e gli esiti dei miei esami in formato digitale e che io continuo a... Leggi tutto
6-12-2020 15:39

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale di questi grandi trend dominerà maggiormente il mercato dell'Information & Communication Technology nei prossimi due anni?
Cloud Computing
Mobility
Virtualizzazione
Sicurezza e Risk Management
Energy Efficiency
Business Intelligence
Big Data

Mostra i risultati (1518 voti)
Novembre 2024
Huawei, l'addio ad Android è completo
Contanti e trionfanti
WhatsApp, la trascrizione dei messaggi vocali è realtà
La vecchietta digitale che fa perdere tempo ai truffatori telefonici
La punteggiatura è morta: l'ha uccisa l'iPhone
Elon Musk e l'attacco ai giudici italiani
D-Link, falla in migliaia di NAS non sarà mai corretta
L'app per aggiornare a Windows 11 anche i PC non supportati
Lo script per aggirare i requisiti hardware di Windows 11
Windows, ora si può accede allo smartphone senza il cavo USB
Ottobre 2024
San Francisco, 200 milioni per liberare la metropolitana dai floppy disk
WhatsApp semplifica i contatti e si prepara a supportare i nomi utente
Windows 11 24H2, bug a non finire
Windows 11 24H2 occupa un sacco di spazio su disco
Bucato l'Internet Archive, sottratti i dati di 31 milioni di utenti
Tutti gli Arretrati
Accadde oggi - 2 dicembre


web metrics