Il malware è diventato più difficile da rilevare. Che cos'è il malware modulare e in che modo lo interrompi causando il caos sul tuo PC?

Malware modulare: il nuovo attacco furtivo che ruba i tuoi dati

Annuncio pubblicitario Il malware è disponibile in tutte le forme e dimensioni. Inoltre, la sofisticazione del malware è cresciuta considerevolmente nel corso degli anni. Gli aggressori si rendono conto che cercare di adattare ogni aspetto del loro pacchetto dannoso in un singolo payload non è sempre il modo più efficiente. Ne

Annuncio pubblicitario

Il malware è disponibile in tutte le forme e dimensioni. Inoltre, la sofisticazione del malware è cresciuta considerevolmente nel corso degli anni. Gli aggressori si rendono conto che cercare di adattare ogni aspetto del loro pacchetto dannoso in un singolo payload non è sempre il modo più efficiente.

Nel tempo, il malware è diventato modulare. Cioè, alcune varianti di malware possono utilizzare moduli diversi per modificare il modo in cui influenzano un sistema di destinazione. Quindi, cos'è il malware modulare e come funziona?

Che cos'è il malware modulare?

Il malware modulare è una minaccia avanzata che attacca un sistema in diverse fasi. Invece di esplodere dalla porta principale, il malware modulare ha un approccio più sottile.

Lo fa installando prima solo i componenti essenziali. Quindi, invece di provocare una fanfara e avvisare gli utenti della sua presenza, il primo modulo cerca il sistema e la sicurezza della rete; chi è responsabile, quali protezioni sono in esecuzione, dove il malware può trovare vulnerabilità, quali exploit hanno le migliori possibilità di successo e così via.

Dopo aver individuato correttamente l'ambiente locale, il modulo malware della prima fase può chiamare home al suo server di comando e controllo (C2). Il C2 può quindi inviare ulteriori istruzioni insieme a moduli malware aggiuntivi per sfruttare l'ambiente specifico in cui opera il malware.

Il malware modulare ha diversi vantaggi rispetto al malware che racchiude tutte le sue funzionalità in un singolo payload.

  • L'autore del malware può modificare rapidamente la firma del malware per sfuggire all'antivirus e ad altri programmi di sicurezza.
  • Il malware modulare consente funzionalità estese per una varietà di ambienti. In questo, gli autori possono reagire a obiettivi specifici o, in alternativa, assegnare moduli specifici per l'uso in ambienti particolari.
  • I moduli iniziali sono piccoli e un po 'più facili da offuscare.
  • La combinazione di più moduli malware fa indovinare i ricercatori sulla sicurezza su ciò che verrà dopo.

Il malware modulare non è una nuova improvvisa minaccia. Gli sviluppatori di malware hanno utilizzato in modo efficiente programmi malware modulari per lungo tempo. La differenza è che i ricercatori della sicurezza stanno riscontrando malware più modulari in una gamma più ampia di situazioni. I ricercatori hanno anche individuato l'enorme botnet Necurs (famigerata per la distribuzione delle varianti di ransomware Dridex e Locky) che distribuisce payload di malware modulari. (Che cos'è una botnet, comunque? Cos'è una botnet e il tuo computer fa parte di uno? Cos'è una botnet e il tuo computer fa parte di uno? Le botnet sono una delle principali fonti di malware, ransomware, spam e altro ancora. Ma cos'è una botnet? Come nascono? Chi li controlla? E come possiamo fermarli? Leggi di più)

Esempi di malware modulari

Esistono alcuni esempi di malware modulari molto interessanti. Eccone alcuni da prendere in considerazione.

VPNFilter

VPNFilter è una recente variante di malware che attacca router e dispositivi Internet of Things (IoT). Il malware funziona in tre fasi.

Il malware del primo stadio contatta un server di comando e controllo per scaricare il modulo del secondo stadio. Il modulo del secondo stadio raccoglie dati, esegue comandi e può interferire con la gestione dei dispositivi (inclusa la possibilità di "murare" un router, un IoT o un dispositivo NAS). Il secondo stadio può anche scaricare moduli del terzo stadio, che funzionano come plugin per il secondo stadio. I moduli della fase tre includono uno sniffer di pacchetti per il traffico SCADA, un modulo di iniezione di pacchetti e un modulo che consente al malware di fase 2 di comunicare utilizzando la rete Tor.

Puoi saperne di più su VPNFilter, da dove proviene e come individuarlo qui.

Malware modulare: il nuovo attacco furtivo che ruba i tuoi dati infrastruttura di server malware vpnfilter

T9000

I ricercatori sulla sicurezza di Palo Alto Networks hanno scoperto il malware T9000 (nessuna relazione con Terminator o Skynet ... o è vero ?!).

T9000 è uno strumento di raccolta dati e intelligence. Una volta installato, T9000 consente a un utente malintenzionato di "acquisire dati crittografati, acquisire schermate di applicazioni specifiche e indirizzare in modo specifico gli utenti Skype", nonché i file dei prodotti Microsoft Office. T9000 viene fornito con diversi moduli progettati per eludere fino a 24 diversi prodotti di sicurezza, modificando il processo di installazione per rimanere sotto il radar.

DanaBot

DanaBot è un Trojan bancario a più livelli con diversi plugin che l'autore utilizza per estenderne le funzionalità. (Come gestire i Trojan di accesso remoto in modo rapido ed efficace. Come gestire i Trojan di accesso remoto in modo semplice ed efficace Come gestire i Trojan di accesso remoto in modo semplice ed efficace annusare un RAT? Se pensi di essere stato infettato da un Trojan di accesso remoto, puoi sbarazzartene facilmente seguendo questi semplici passaggi. Per saperne di più) Ad esempio, a maggio 2018, DanaBot è stata avvistata in una serie di attacchi contro le banche australiane. All'epoca, i ricercatori hanno scoperto un plug-in di sniffing e iniezione di pacchetti, un plug-in di visualizzazione remota VNC, un plug-in di raccolta dati e un plug-in Tor che consente una comunicazione sicura.

"DanaBot è un Trojan bancario, il che significa che è necessariamente geo-mirato in una certa misura", si legge nel blog di Proofpoint DanaBot. "L'adozione da parte di attori di alto volume, tuttavia, come abbiamo visto nella campagna degli Stati Uniti, suggerisce lo sviluppo attivo, l'espansione geografica e l'interesse degli attori delle minacce in corso nei confronti del malware. Il malware stesso contiene una serie di funzionalità anti-analisi, nonché moduli rubati e di controllo remoto aggiornati, aumentando ulteriormente la sua attrattiva e utilità per gli attori delle minacce. "

Marap, AdvisorsBot e CobInt

Sto combinando tre varianti di malware modulari in una sezione mentre i fantastici ricercatori sulla sicurezza di Proofpoint hanno scoperto tutte e tre. Le varianti di malware modulari presentano somiglianze ma hanno usi diversi. Inoltre, CobInt fa parte di una campagna per il gruppo Cobalt, un'organizzazione criminale legata a una lunga lista di crimini informatici bancari e finanziari.

Marap e AdvisorsBot sono stati entrambi individuati individuando i sistemi target per la difesa e la mappatura della rete e se il malware dovesse scaricare l'intero payload. Se il sistema di destinazione ha un interesse sufficiente (ad esempio, ha un valore), il malware richiede la seconda fase dell'attacco.

Come altre varianti di malware modulari, Marap, AdvisorsBot e CobInt seguono un flusso in tre fasi. La prima fase è in genere un'e-mail con un allegato infetto che porta l'exploit iniziale. Se l'exploit viene eseguito, il malware richiede immediatamente la seconda fase. La seconda fase prevede il modulo di ricognizione che valuta le misure di sicurezza e il panorama della rete del sistema target. Se il malware considera tutto adatto, il terzo e ultimo modulo viene scaricato, incluso il payload principale.

Analisi di prova di:

  • Marap
  • AdvisorBot (e PoshAdvisor)
  • Cobin

Caos

Mayhem è una variante di malware modulare leggermente più vecchia, che viene alla luce per la prima volta nel 2014. Tuttavia, Mayhem rimane un ottimo esempio di malware modulare. Il malware, scoperto dai ricercatori sulla sicurezza di Yandex, si rivolge ai server Web Linux e Unix. Si installa tramite uno script PHP dannoso.

Una volta installato, lo script può richiamare diversi plug-in che definiscono l'utilizzo finale del malware.

I plug-in includono un cracker di password a forza bruta destinato agli account FTP, WordPress e Joomla, un crawler Web per la ricerca di altri server vulnerabili e uno strumento che sfrutta la vulnerabilità di Heartbleed OpenSLL.

DiamondFox

La nostra variante di malware modulare finale è anche una delle più complete. È anche uno dei più preoccupanti, per un paio di ragioni.

Motivo uno: DiamondFox è una botnet modulare in vendita su vari forum sotterranei. I potenziali criminali informatici possono acquistare il pacchetto botnet modulare DiamondFox per accedere a una vasta gamma di capacità di attacco avanzate. Lo strumento viene aggiornato regolarmente e, come tutti i buoni servizi online, dispone di un'assistenza clienti personalizzata. (Ha anche un registro delle modifiche!)

Secondo motivo: la botnet modulare DiamondFox viene fornita con una gamma di plug-in. Questi vengono attivati ​​e disattivati ​​tramite una dashboard che non sarebbe fuori posto come un'app di casa intelligente. I plugin includono strumenti di spionaggio su misura, strumenti per il furto di credenziali, strumenti DDoS, keylogger, spam mailer e persino un raschietto RAM.

Attenzione: il video seguente ha musica che potrebbe piacerti o meno.

Come fermare un attacco malware modulare

Al momento, nessuno strumento specifico protegge da una specifica variante di malware modulare. Inoltre, alcune varianti di malware modulari hanno un ambito geografico limitato. Ad esempio, Marap, AdvisorsBot e CobInt si trovano principalmente in Russia e nelle nazioni della CSI.

Detto questo, i ricercatori di Proofpoint hanno sottolineato che, nonostante le attuali limitazioni geografiche, se altri criminali vedono un'organizzazione criminale così affermata che utilizza malware modulare, altri seguiranno sicuramente l'esempio.

È importante sapere come arriva il malware modulare sul tuo sistema. La maggior parte utilizza allegati di posta elettronica infetti, in genere contenenti un documento di Microsoft Office con uno script VBA dannoso. Gli aggressori utilizzano questo metodo perché è facile inviare e-mail infette a milioni di potenziali target. Inoltre, l'exploit iniziale è minuscolo e facilmente camuffato da file di Office.

Come sempre, assicurati di mantenere aggiornato il tuo sistema e considera di investire in Malwarebytes Premium: ne vale la pena 5 motivi per passare a Malwarebytes Premium: Sì, ne vale la pena 5 motivi per passare a Malwarebytes Premium: Sì, ne vale la pena la versione gratuita di Malwarebytes è fantastica, la versione premium ha un sacco di funzioni utili e utili. Leggi di più !

Ulteriori informazioni su: Jargon, malware, malware modulare, cavallo di Troia.