Exaramel, una nuova backdoor utilizzata da TeleBots

I ricercatori di ESET hanno scoperto LightNeuron, una backdoor che colpisce i server di posta Microsoft Exchange che può leggere, modificare o bloccare qualsiasi email che transita sul server e addirittura scrivere nuove email ed inviarle sotto le mentite spoglie di un legittimo utente, scelto dai criminali.

Il malware nasconde i suoi comandi all’interno di documenti PDF e JPG e utilizza la steganografia per presentare le email in arrivo come inoffensive. I ricercatori di ESET hanno raccolto diverse evidenze che suggeriscono che LightNeuron appartiene con buona probabilità all’arsenale del famoso gruppo di spionaggio Turla, conosciuto come Snake.

 

Backdoor, ce n’è una che affligge dal 2014 il server di posta Microsoft Exchange

LightNeuron è il primo malware identificato che riesce a manipolare il meccanismo di trasporto del server Microsoft Exchange e può operare con lo stesso livello di affidabilità dei prodotti di sicurezza come i filtri antispam. Di conseguenza, questo backdoor fornisce all’aggressore il controllo totale sul server di posta e quindi su tutte le comunicazioni.

La capacità di controllare la comunicazione rende LightNeuron uno strumento perfetto per l’estrapolazione furtiva di documenti e anche per il controllo di altri server locali tramite un meccanismo C & C che è molto difficile da rilevare e bloccare. La backdoor ha colpito i server di posta Microsoft Exchange almeno dal 2014.

Leggi anche:  Whatsapp: una backdoor potrebbe spiare miliardi di persone

I ricercatori di ESET hanno identificato con certezza tre organizzazioni cadute vittime del malware, tra cui un Ministero degli Affari Esteri di un paese dell’Est Europeo ed una organizzazione diplomatica dell’area Medio Orientale ma considerata la durata della campagna è verosimile che molte altre organizzazioni siano state colpite.

I ricercatori avvertono che eliminare LightNeuron non è facile: la semplice rimozione dei file dannosi non basta, in quanto il malware potrebbe danneggiare il server di posta elettronica. Pertanto ESET invita i network administrator a leggere il documento di ricerca per intero prima di implementare un meccanismo di pulizia.

I più curiosi potranno leggere l’analisi dettagliata, incluso l’elenco completo degli indicatori di compromissione e dei campioni, accedendo a questo indirizzo.