Il set di strumenti per lo spionaggio industriale MontysThree

Utilizza server cloud pubblici facendo uso di steganografia per occultarsi.



[ZEUS News - www.zeusnews.it - 10-10-2020]

MontysThree

Enti governativi, diplomatici e operatori delle telecomunicazioni sono il bersaglio preferito delle Apt (minacce persistenti avanzate) perché possiedono un patrimonio di informazioni politiche altamente confidenziali ed estremamente sensibili. Invece, le campagne di spionaggio mirate contro le realtà industriali sono molto più rare, ma, come ogni altro attacco contro il settore industriale, possono avere conseguenze devastanti per il business.

Per effettuare l'attività di spionaggio, MontysThree utilizza un programma malware composto da quattro moduli. Il primo è il loader, che si diffonde inizialmente utilizzando un file Rar Sfx (archivio auto-estraente) con i nomi relativi alle liste dicontatto dei dipendenti, la documentazione tecnica e i risultati di analisi mediche con lo scopo di indurre i dipendenti a scaricare i file, secondo una comune tecnica di spear phishing. Il compito fondamentale del loader è garantire che il malware non venga rilevato sul sistema e a tal fine utilizza una tecnica nota come steganografia.

La steganografia è una tecnica utilizzata dai criminali informatici per nascondere lo scambio di dati. Nel caso di MontysThree, il payload malevolo principale è occultato come file bitmap (un formato per l'archiviazione di immagini digitali). Dopo aver inserito il comando corretto, il loader utilizzerà un algoritmo personalizzato per decifrare il contenuto dall'array di pixel ed eseguire il payload dannoso.

Il payload dannoso principale utilizza diverse tecniche di encryption proprie per eludere il rilevamento. In particolare, utilizza l'algoritmo Rsa, che permette di crittografare le comunicazioni con il server di controllo e decrittografare i principali "task" assegnati dal malware.

Questo include la ricerca di documenti con estensioni specifiche e in particolari directory aziendali. MontysThree è progettato per prendere di mira i documenti Microsoft e Adobe Acrobat; può anche catturare screenshot e "impronte digitali", ossia raccogliere informazioni sulle impostazioni di rete, sul nome dell'host e molto altro.

Le informazioni raccolte e le altre comunicazioni con il server di controllo sono poi ospitate su servizi cloud pubblici come Google, Microsoft e Dropbox. Questo sistema rende difficile distinguere il traffico di comunicazione come dannoso e, poiché nessun antivirus blocca questi servizi, garantisce che il server di controllo possa eseguire comandi ininterrottamente.

MontysThree, inoltre, utilizza un modifier per Windows Quick Launch come metodo per ottenere la persistenza sul sistema infetto. Ogni volta che gli utenti utilizzano la barra degli strumenti di avvio rapido per eseguire applicazioni legittime come i browser, attivano a loro insaputa anche il modulo iniziale del malware.

I ricercatori di Kaspersky, analizzando questo tipo di attacchi mirati, non hanno riscontrato elementi comuni nel codice dannoso o nell'infrastruttura che corrispondessero ad altre Apt note.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)

Ma prima di aprire un file del genere un dubbio non ti viene? Ti fai pure mandare gli esiti delle tue analisi all'indirizzo mail del lavoro? A me sono alcuni mesi che continuano ad arrivare mail da un fantomatico medico che mi invia le mie prescrizioni digitali e gli esiti dei miei esami in formato digitale e che io continuo a... Leggi tutto
6-12-2020 15:39

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è lo strumento di informazione di cui ti avvali di più?
I media tradizioniali (Tv, radio, stampa, ecc.)
Internet, soprattutto i siti autorevoli (Repubblica, Corriere, ecc.)
Internet, soprattutto i siti indipendenti o di controinformazione
Internet, soprattutto i social network (Twitter, Facebook, ecc.)
Non mi fido di nessun media e credo solo a quello che vedo

Mostra i risultati (3275 voti)
Ottobre 2024
San Francisco, 200 milioni per liberare la metropolitana dai floppy disk
WhatsApp semplifica i contatti e si prepara a supportare i nomi utente
Piracy Shield blocca Google Drive in tutta Italia
Windows 11 24H2 occupa un sacco di spazio su disco
Bucato l'Internet Archive, sottratti i dati di 31 milioni di utenti
Google rimuove Kaspersky dal Play Store
Ecco Office 2024, con un nuovo aspetto e senza abbonamento
Windows 11, l'update causa la schermata verde della morte
Settembre 2024
Frankenthings, un genocidio nell'Internet delle Cose
Groupon licenzia tutti e lascia l'Italia
La polizia tedesca ha infiltrato TOR: la rete anonima è ancora sicura?
Gli smartphone ci ascoltano? No, ma...
L'obbligo dei 14 anni per gli smartphone
''Ascoltiamo gli utenti dagli smartphone''. Partner di Facebook lo ammette.
Super God Mode rivela tutte, ma proprio tutte, le funzionalità di Windows
Tutti gli Arretrati
Accadde oggi - 1 novembre


web metrics