Kaspersky scopre una campagna di cyber-spionaggio, attiva dal 2015, ai danni degli utenti in lingua persiana in Iran. Da almeno 6 anni, quest’attività distribuisce malware sul dispositivo della vittima, con la finalità di prenderne acquisirne informazioni.
Dopo un file sospetto, Kaspersky scopre una campagna di cyberspionaggio
A seguito della pubblicazione di un documento sospetto su Virus Total, i ricercatori di Kaspersky hanno condotto delle indagini rinvenendo risultati allarmanti. L’agenzia di sicurezza informatica ha infatti scoperto una campagna di sorveglianza in atto da 6 anni. L’attività malevola era condotta ai danni degli utenti di lingua persiana in Iran. I ricercatori hanno denominato l’attore dietro la campagna con l’appellativo di Ferocious Kitten. Il gruppo sembrerebbe attivo almeno dal 2015, e tramite documenti-esca contenenti macro dannose attacca i dispositivi delle vittime. Questi documenti si presentano all’utente come normali video (o immagini) contro il regime iraniano. I messaggi iniziali spingono la vittima a riprodurre i file, innescando così l’infezione del sistema. Ecco come vengono rilasciato questi malware.
| I am Hussein Jafari I was a prisoner of the regime during 1363-64.Add my name to the prisoners’ statement of Iraj Mesdaghi about the bloodthirsty mercenary.Please use the nickname Jafar for my own safety and my family. Hussein JafariJuly 1399 |
Come funzionano questi malware: a rischio anche Telegram
Gli eseguibili rilasciano il principale payload malevolo, un malware personalizzato noto come “MarkiRAT”. Una volta scaricato sul sistema infetto, MarkiRAT avvia un keylogger per copiare tutto il contenuto degli appunti e per registrare le sequenze di tasti digitati. MarkiRAT fornisce agli attaccanti anche funzionalità di download e upload di file e dà loro la possibilità di eseguire comandi arbitrari sul dispositivo infetto. I ricercatori di Kaspersky hanno scoperto diverse varianti di MarkiRAT. Una versione è in grado di intercettare l’esecuzione di Telegram e lanciare il malware insieme all’applicazione. In questo caso, MarkiRAT cerca il repository di dati interni di Telegram nel dispositivo infetto e crea una copia di sé stesso. Successivamente, modifica il collegamento utilizzato per aprire Telegram ed eseguire il repository modificato insieme all’applicazione stessa.
Kaspersky scopre una campagna malevola anche su Chrome
Un’altra variante modifica il collegamento del browser Chrome del dispositivo, operando in modo simile alla variante che prende di mira Telegram. A ogni avvio di Chrome, vengono contemporaneamente eseguiti l’applicazione reale e il payload di MarkiRAT. Una terza variante è una versione backdoored di Psiphon, uno strumento VPN open source spesso utilizzato per aggirare la censura di Internet. Nonostante i ricercatori non siano stati in grado di ottenere alcun campione specifico per l’analisi, Kaspersky ha constatato che gli autori della minaccia hanno sviluppato impianti dannosi che prendono di mira i dispositivi Android. Questa campagna sembra essere indirizzata agli utenti di lingua persiana situati in Iran. Il contenuto dei documenti usati come esca suggerisce che gli attaccanti mirino a colpire i sostenitori dei movimenti di protesta all’interno del Paese.
Scoperta solo la punta di un gigantesco iceberg
“Nonostante il malware MarkiRAT e il suo set di strumenti non siano particolarmente sofisticati, è interessante che il gruppo abbia creato varianti specifiche per Chrome e Telegram. Ciò lascia intendere che gli autori della minaccia preferiscano adattare il loro set di strumenti esistenti agli ambienti presi di mira, piuttosto che apportarvi nuove caratteristiche e funzionalità. È anche molto probabile che il gruppo stia conducendo diverse campagne mirate ai danni di diverse piattaforme”, ha dichiarato Mark Lechtik, Senior Security Researcher del Global Research and Analysis Team (GReAT).
“Abbiamo rilevato anche una variante più recente che utilizza un downloader invece di un payload incorporato. Da questo possiamo dedurre che il gruppo sia ancora molto attivo e potrebbe essere in procinto di modificare le proprie tattiche, tecniche e procedure (TTP)”, ha aggiunto Paul Rascagneres, Senior Security Researcher di GReAT.
Kaspersky scopre una campagna malevola e suggerisce prevenzione
Per proteggere i dipendenti aziendali da APT come Ferocious Kitten, gli esperti di Kaspersky raccomandano di:
- Prestare attenzione alle e-mail o ai messaggi sospetti ed essere sempre consapevoli delle protezioni della privacy all’interno di tutte le app e i servizi utilizzati
- Non cliccare su nessun link ricevuto da mittenti sconosciuti e non aprire nessun file o allegato sospetto
- Installare sempre gli aggiornamenti. Alcuni di essi possono contenere correzioni a problemi critici di sicurezza.
- Utilizzare una soluzione di sicurezza affidabile e adatta al tipo di sistema e ai dispositivi in uso, come Kaspersky Internet Security o Kaspersky Security Cloud.
Maggiori informazioni su Ferocius Kitten sono disponibili su Securelist.