Di recente è stato scoperto un nuovo tipo di malware che è riuscito a superare 56 antivirus prima di essere finalmente catturato.
Il malware, se eseguito, può causare seri danni al tuo dispositivo e sembra essere così ben fatto che potrebbe essere il prodotto di hacker internazionali. L’apertura di un allegato e-mail è tutto ciò che serve per concedergli l’ingresso nel tuo dispositivo.
L’unità 42, un team di intelligence di Palo Alto, ha appena pubblicato un rapporto su un malware che è riuscito a evitare il rilevamento da parte di ben 56 antivirus. Secondo il team, il modo in cui il malware è stato creato, impacchettato e distribuito è molto simile alle varie tecniche utilizzate dal gruppo di minacce APT29, noto anche con i nomi di Iron Ritual e Cozy Bear. Questo gruppo è stato attribuito al Foreign Intelligence Service (SVR) russo, il che indica che il malware in questione potrebbe essere un affare di stato nazionale.
Secondo l’Unità 42, il malware è stato individuato per la prima volta nel maggio 2022 ed è stato trovato nascosto all’interno di un tipo di file piuttosto strano: ISO, che è un file di immagine del disco utilizzato per trasportare il contenuto di un disco. Il file viene fornito con un payload dannoso, e si ritiene che sia stato creato utilizzando uno strumento chiamato Brute Ratel (BRC4).
Attenzione a quello che aprite
BRC4 è difficile da rilevare: gli autori dello strumento hanno decodificato il software antivirus per rendere lo strumento ancora più furtivo.
Il file ISO finge di essere il curriculum vitae (resume) di qualcuno di nome Roshan Bandara. All’arrivo nella casella di posta elettronica del destinatario, non fa nulla, ma quando viene cliccato, si monta come un’unità Windows e visualizza un file chiamato “Roshan-Bandara_CV_Dialog”. A quel punto, è facile farsi ingannare: il file sembra essere un tipico file di Microsoft Word, ma se si fa clic su di esso, esegue un file cmd.exe e procede all’installazione del payload BRC4.
Al termine, al tuo PC potrebbe accadere di tutto: dipende dalle intenzioni dell’attaccante.
L’unità 42 spiega che trovare questo malware è preoccupante per una serie di motivi. Per uno, c’è un’alta probabilità che sia collegato ad APT29.
