ESET, la casa produttrice di antivirus, ha individuato nuovi componenti di Zebrocy, la famiglia di malware utilizzata dal famigerato gruppo Sednit.
Attivo dal 2004, il gruppo di hacker ha effettuato attacchi di alto profilo in tutto il mondo. Uno dei più dannosi è stato nel 2016, quando il Dipartimento di Giustizia degli Stati Uniti ha accusato il gruppo di essere responsabile della violazione al Democratic National Committee (DNC) poco prima delle elezioni degli Stati Uniti. Si sospetta anche che il gruppo si nasconda dietro l’hacking della rete televisiva globale TV5Monde e molti altri.
Nuovi componenti del virus Zebrocy scoperti da ESET
A fine agosto, il gruppo ha lanciato una nuova campagna destinata ai loro classici obiettivi, ambasciate e ministeri degli affari esteri nei paesi dell’Europa orientale e dell’Asia centrale. Il gruppo ha infatti creato nuovi componenti della famiglia di malware Zebrocy. Quando un dispositivo è preso di mira, il processo è piuttosto evidente. La vittima ha infatti almeno sei componenti dannosi rilasciati sul computer prima dell’esecuzione del payload finale. Il documento allegato all’email di phishing è vuoto ma fa riferimento a un modello remoto, wordData.dotm.
Questa nuova ondata di attacchi utilizza la versione più recente del virus, il Nim. Si tratta di un semplice binario predisposto per scaricare ed eseguire altri componenti, a cui però sono stati aggiunti due dettagli. Il primo è come trucco anti-sandbox e verifica che la prima lettera del file eseguito non sia cambiata. Il secondo è un tipo di offuscamento in cui l’operatore sostituisce le lettere “placeholder” in una stringa con quelle corrette, a offset definiti.
La nuova backdoor di Zebrocy non è scritta come al solito in Delphi, ma in Golang. Questa nuova backdoor ha varie funzionalità, tra cui la manipolazione dei file come creazione, modifica ed eliminazione, funzionalità di cattura screenshot e esecuzione di comandi tramite cmd.exe.
ESET consiglia a tutti gli utenti di prestare la massima attenzione prima di aprire gli allegati ad email sospette. Per maggiori informazioni vi invitiamo a visitare lo studio completo dell’azienda.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🚪 La pericolosa backdoor di Linux, disastro sventato da un solo ricercatore
🎶Streaming Farms: il lato oscuro della musica, tra ascolti falsi e stream pompati
✈️Abbiamo provato DJI Avata 2: sempre più divertente!
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
