I ricercatori hanno scoperto un nuovo campione di malware in grado di nascondersi da più di 50 prodotti antivirus (si apre in una nuova scheda) attualmente sul mercato.
Il malware è stato scoperto dai ricercatori di sicurezza informatica dell'Unità 42, il team di intelligence sulle minacce di Palo Alto Networks. Il team ha rilevato per la prima volta il ceppo a maggio, quando ha scoperto che era stato creato utilizzando lo strumento Brute Ratel (BRC4).
Gli sviluppatori di BRC4 affermano di aver persino decodificato popolari prodotti antivirus per garantire che il loro strumento eluda il rilevamento.
La qualità del design e la velocità con cui è stato distribuito ai terminali delle vittime hanno convinto gli investigatori che dietro la campagna ci fosse un attore sponsorizzato dallo stato.
metodi russi
Sebbene lo strumento in sé sia pericoloso, i ricercatori erano più interessati al suo percorso di distribuzione, indicando che è coinvolto un attore sponsorizzato dallo stato.
Il malware viene distribuito sotto forma di un falso documento CV. Il CV è un file ISO che, se montato su un'unità virtuale, visualizza qualcosa di simile a un documento di Microsoft Word.
Sebbene i ricercatori non siano ancora in grado di individuare esattamente chi sia l'autore della minaccia dietro BRC4, sospettano che l'APT29 con sede in Russia (alias Cozy Bear) abbia utilizzato l'ISO come arma in passato.
Un altro indizio che suggerisce che sia in gioco un attore sponsorizzato dallo stato è la velocità con cui è stato estratto BRC4. L'ISO è stato creato lo stesso giorno in cui è stata rilasciata l'ultima versione di BRC4.
"L'analisi dei due campioni descritti in questo blog, insieme al crafting avanzato utilizzato per impacchettare questi payload, mostra chiaramente che gli attori informatici malintenzionati hanno iniziato ad adottare questa capacità," ha scritto l'Unità 42 in un post sul blog.
"Crediamo sia fondamentale che tutti i fornitori di sicurezza creino protezioni per rilevare BRC4 e che tutte le organizzazioni adottino misure proattive per difendersi da questo strumento."
Via: Il Registro (si apre in una nuova scheda)