▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

ComRAT usa Gmail per ricevere comandi ed esfiltrare i dati

Un malware creato per trovare, rubare ed esfiltrare documenti riservati. Fa il lavoro sporco usando l'interfaccia web di Gmail.

Business Vulnerabilità
Si chiama ComRAT il malware che sfrutta l'interfaccia web di Gmail per ricevere segretamente i comandi ed esfiltrare dati sensibili. A scoprirlo sono stati i ricercatori di ESET, che hanno ricondotto la nuova variante al gruppo cyber criminale Turla APT.

ComRAT non è una new entry sulla scena criminale. Ha esordito nel 2017 ed è stato usato per colpire più che altro obiettivi politici. La versione appena rilevata è la v4, o "Chinch" come chiamata dagli autori di malware. Non è un'evoluzione dei predecessori in senso stretto, perché utilizza una base di codice completamente nuova. Inoltre, ComRAT v4 è molto più complesso rispetto alle sue varianti precedenti. In genere si installa tramite PowerStallion, una backdoor di PowerShell di cui si serve abitualmente Turla per installare altre backdoor.

Inoltre, il loader di PowerShell inserisce nel browser web un modulo chiamato ComRAT orchestrator, che impiega due canali diversi, uno legacy e uno via posta elettronica, per ricevere comandi da un server di comando e controllo ed esfiltrare le informazioni.
comrat 2Da qui si deduce che la funzione principale di ComRAT sia trovare, rubare ed esfiltrare documenti riservati. In un caso noto, i cyber criminali hanno anche distribuito un eseguibile .NET per interagire con il database SQL Server della vittima contenente i documenti dell'organizzazione. Inoltre, tutti i file relativi a ComRAT, ad eccezione della DLL di orchestrator e dell'attività pianificata per la persistenza, vengono archiviati in un file system virtuale (VFS).

La modalità "mail" funziona leggendo l'indirizzo email e i cookie di autenticazione che si trovano nel VFS, connettendosi alla visualizzazione HTML di base di Gmail e analizzando la pagina HTML della posta in arrivo. È così che gli aggressori ottengono l'elenco delle email, e degli oggetti inseriti in un file "subject.str" nel VFS.

Per ogni email che soddisfa i criteri, comRAT scarica gli allegati e cancella le email. Il file scaricato non è il documento stesso, quanto un file crittografato che include i comandi per allegarlo come messaggio di posta elettronica a un indirizzo di destinazione specificato nel file VFS "answer_addr.str".
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter