L'attore di APT DeathStalker prende di mira le aziende nel mercato del forex e delle criptovalute. La tecnologia evasiva e il set di strumenti stealth "VileRAT" sono distribuiti tramite spear phishing. Anche le aziende in Germania sono colpite dagli attacchi.
L'attore di minacce DeathStalker ha aggiornato il suo set di strumenti di evasione tecnologica e invisibile "VileRAT" per attaccare le attività di criptovaluta e cambio valuta, come mostra una recente analisi di Kaspersky. Le organizzazioni attaccate si trovano in Bulgaria, Cipro, Germania, Kuwait, Malta, Emirati Arabi Uniti, Russia e Grenadine.
Attore APT hack-for-hire
DeathStalker è un attore APT hack-for-hire le cui attività Kaspersky monitora dal 2018. Finora si è rivolto principalmente a studi legali e organizzazioni del settore finanziario; gli attacchi non sembravano avere motivazioni né politiche né finanziarie. Gli esperti di Kaspersky ritengono che DeathStalker agisca come una sorta di gruppo mercenario che offre servizi specializzati di hacking o di intelligence finanziaria. A metà del 2020, Kaspersky è riuscita a identificare una nuova infezione altamente evasiva basata sull'impianto Python "VileRAT". Da allora, gli esperti hanno seguito da vicino le attività del giocatore e hanno notato che nel 2022 si concentra intensamente sulle società di scambio di valuta estera (FOREX) e criptovaluta in tutto il mondo.
VileRAT viene in genere distribuito dopo una complicata catena di infezioni che inizia con e-mail di spear phishing. Quest'estate, gli aggressori hanno utilizzato anche chatbot incorporati nei siti Web pubblici delle aziende interessate per inviare documenti dannosi. I documenti DOCX sono spesso contrassegnati con le parole chiave "Compliance" o "Reclamo" (e il nome dell'azienda target) e pretendono di essere risposte a presunte richieste di identificazione o segnalazioni di problemi.
Raffinati strumenti che si mimetizzano
La campagna VileRAT si distingue per la sofisticatezza degli strumenti utilizzati e l'enorme infrastruttura dannosa dietro di essa (rispetto alle attività di DeathStalker precedentemente documentate), le numerose tecniche di offuscamento utilizzate durante l'infezione, nonché la sua attività continua e sostenuta dal 2020 in poi. L'attuale campagna mostra DeathStalker che fa di tutto per ottenere e quindi ottenere l'accesso ai suoi obiettivi. I possibili obiettivi degli attacchi vanno dalla due diligence, al recupero dei beni, dall'assistenza in contenziosi o arbitrati all'elusione delle sanzioni; il guadagno finanziario diretto non sembra ancora farne parte.
VileRaT non mostra particolare interesse in alcuni paesi; invece, i ricercatori di Kaspersky segnalano organizzazioni interessate in Bulgaria, Cipro, Germania, Kuwait, Malta, Emirati Arabi Uniti, Russia e Grenadine. Le organizzazioni identificate sono di tutte le dimensioni, dalle start-up di nuova costituzione ai leader del settore affermati.
ingannare, camuffare, nascondere
"L'obiettivo di DeathStalker è sempre stato quello di eludere il rilevamento", spiega Pierre Delcher, senior security researcher del Global Research & Analysis Team (GReAT) di Kaspersky. “La campagna VileRAT ha ora portato il tutto a un nuovo livello. In termini di complessità e offuscamento, è senza dubbio la campagna più impegnativa che abbiamo visto da questo giocatore. Le tattiche e le pratiche di DeathStalker sono efficaci nell'attaccare bersagli più facili. Potrebbero non avere abbastanza esperienza per resistere a un simile attacco, potrebbero non aver fatto della sicurezza una priorità assoluta per la loro organizzazione o interagire frequentemente con terze parti che non lo hanno già fatto”.
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/