I ricercatori di G Data scoprono: il malware Java copia le password e consente anche il controllo remoto tramite RDP.
Un malware appena scoperto sviluppato in Java può copiare i dati di accesso, controllare in remoto il computer della vittima ed eseguire altri comandi. Il componente ransomware integrato non è ancora completamente funzionante.
Gli analisti di G DATA CyberDefense avvertono del nuovo malware sviluppato in Java. Se il malware è attivo su un sistema, i criminali possono leggere le password dai browser e dai programmi di posta elettronica. Inoltre, poiché il malware dispone di una capacità di accesso remoto (RAT), un utente malintenzionato può assumere il controllo remoto del sistema infetto. Per questo viene utilizzato il Remote Desktop Protocol (RDP), una versione modificata dello strumento "rdpwrap" (https://github.com/stascorp/rdpwrap) viene scaricato in background. L'accesso RDP nascosto è possibile nella versione modificata.
Inoltre, il malware ha una componente ransomware – attualmente ancora – rudimentale. Finora, tuttavia, qui non è avvenuta alcuna crittografia, solo una ridenominazione dei file. Poiché il malware viene spesso costantemente sviluppato, questo potrebbe cambiare nelle versioni future.
Inaspettato: nuovo malware Java
"Il malware attuale è insolito, non abbiamo visto alcun nuovo malware Java da molto tempo", afferma Karsten Hahn, analista di virus presso G DATA. "Con il malware che abbiamo analizzato, stiamo già riscontrando tentativi di infezione presso i nostri clienti".
Con l'attuale percorso di infezione, il malware non può essere eseguito senza Java. Si può presumere che chiunque abbia scritto il software abbia sperimentato. Tuttavia, esiste già una funzionalità che scarica e installa Java Runtime Environment subito prima che il malware Java venga infettato. Chiunque abbia già una versione di Java Runtime Environment (JRE) installata sul proprio computer è vulnerabile a un'infezione.
L'accesso RDP è tradizionalmente un mezzo popolare per i criminali per ottenere l'accesso ai sistemi nelle reti aziendali. Le aziende, a loro volta, utilizzano l'accesso RDP per lavori di manutenzione e talvolta per lavori remoti. All'interno di una rete aziendale, è quindi necessario prestare attenzione a tenere d'occhio il traffico RDP per poter rilevare immediatamente eventuali anomalie. Ulteriori dettagli tecnici e grafici possono essere trovati nell'articolo di Techblog in lingua inglese il nostro analista Karsten Hahn.
Maggiori informazioni su GData.de