Gli hacker si sono rivoltati contro se stessi in una campagna malware scoperta di recente che suggerisce che siano diventati bersagli di altri hacker che hanno iniziato a riconfezionare popolari strumenti di hacking con malware. La campagna pluriennale è stata scoperta per la prima volta dal vicepresidente della strategia di sicurezza di Cybereason e ricercatore capo Amit Serper, che ha scoperto che gli hacker avevano iniziato a modificare gli strumenti di hacking esistenti iniettandoli con forza. Trojan di accesso remoto. Quando questi strumenti modificati vengono aperti, forniscono agli hacker pieno accesso al computer del bersaglio. Secondo Serper, gli aggressori hanno reso più semplice la diffusione dei loro strumenti riconfezionati pubblicandoli sui forum di hacking più popolari. Tuttavia, questi strumenti ripristinati non solo consentono agli hacker di accedere al computer di un bersaglio, ma aprono anche una backdoor sui loro sistemi che consente agli aggressori di utilizzare qualsiasi altro computer o rete che hanno già violato.
njRat Trojan
Durante la sua indagine sulla campagna, Serper ha scoperto che gli hacker dietro questi attacchi hanno iniettato e riconfezionato strumenti di hacking con il cavallo di Troia njRat. Questo trojan offre agli aggressori pieno accesso al desktop di un bersaglio, nonché ai suoi file, webcam e microfoni protetti da password. njRat esiste dal 2013 ed è stato spesso utilizzato contro obiettivi in Medio Oriente. Spesso si diffonde tramite e-mail di phishing e unità flash infette, ma recentemente gli hacker hanno iniziato a iniettare malware in siti Web inattivi o non sicuri per evitare il rilevamento. Gli hacker stanno nuovamente utilizzando questa tecnica per distribuire njRat e, secondo Serper, hanno compromesso diversi siti Web per ospitare centinaia di campioni di malware njRat. In un post sul blog, ha fornito maggiori dettagli su quest’ultima campagna e sulla sua indagine sul caso, affermando: “Questa indagine ha rivelato quasi 1,000 campioni di njRat compilati e costruiti quasi ogni giorno. È lecito ritenere che molte persone siano state infettate da questa campagna (anche se al momento non possiamo sapere esattamente quante). In definitiva, questa campagna offre agli autori delle minacce pieno accesso alla macchina presa di mira, in modo che possano utilizzarla per qualsiasi cosa, dall’esecuzione di attacchi DDoS al furto di dati sensibili dalla macchina. È chiaro che gli autori delle minacce dietro questa campagna utilizzano più server, alcuni dei quali sembrano blog WordPress compromessi. Altre sembrano essere infrastrutture appartenenti al gruppo di minacce, a giudicare dai vari nomi host, dati DNS, ecc. "Dato che questa campagna esiste da anni, probabilmente continuerà a farlo dando agli hacker un assaggio della loro stessa medicina. Via TechCrunch