I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno individuato Exaramel, una nuova backdoor utilizzata da TeleBots. È il gruppo responsabile dell’enorme diffusione del ransomware (Not) Petya, il più potente malware moderno rivolto ai sistemi di controllo industriale.
Lo stesso malware responsabile del blackout elettrico di Kiev, nel 2016. La forte somiglianza tra Exaramel e la backdoor principale di Industroyer è la prima prova presentata pubblicamente che collega Industroyer a TeleBots e quindi a (Non) Petya e a BlackEnergy.
La scoperta di Exaramel mostra che nel 2018 il gruppo TeleBots è ancora attivo e che i criminali continuano a migliorare i loro strumenti e le loro tattiche. La backdoor Exaramel viene inizialmente rilasciata da un dropper che, una volta eseguito, installa il codice binario della backdoor nella directory di sistema di Windows.
In questo modo viene creato e avviato un servizio Windows denominato wsmproav con la descrizione “Windows Check AV”. Il nome file e la descrizione del servizio Windows sono codificati nel dropper. Nel caso di Exaramel gli hacker raggruppano i loro obiettivi in base alle soluzioni di sicurezza in uso.
Un altro fatto interessante è che la backdoor utilizza server C & C con nomi di dominio che imitano quelli appartenenti a ESET, come esetsmart [.] org e um10eset [.] net. Una volta che la backdoor è in esecuzione, si connette a un server C & C e riceve i comandi da eseguire.
Il codice del ciclo di comando e le implementazioni dei primi sei comandi sono molto simili a quelli trovati in una backdoor utilizzata nel toolset di Industroyer. La principale differenza tra la backdoor del toolset Industroyer e Exaramel è che quest’ultima usa il formato XML per la comunicazione e la configurazione invece di un formato binario personalizzato.
Dopo Exaramel ecco altri strumenti pericolosi per la sottrazione di password
Insieme alla backdoor Exaramel, questo gruppo utilizza alcuni dei suoi vecchi strumenti, tra cui un password-stealer internamente chiamato CredRaptor o PAI e un Mimikatz leggermente modificato. Lo strumento Credraptor, noto dal 2016, è stato leggermente migliorato.
A differenza delle versioni precedenti, raccoglie le password salvate non solo dai browser, ma anche da Outlook e da molti client FTP.