Home » News » Atlas RAT, il malware cinese che spia l’Europa via WhatsApp e Teams
News

Atlas RAT, il malware cinese che spia l’Europa via WhatsApp e Teams

Il gruppo cinese TA4922 diffonde lo spyware Atlas RAT in Europa con phishing e finti messaggi su WhatsApp e Teams.

scritto da Denis Dosi 0 commenti 1 Minuti lettura
Atlas RAT, il malware cinese che spia l'Europa via WhatsApp e Teams

Atlas RAT è il nome del malware finito sotto i riflettori dopo una nuova ondata di attacchi di cyberspionaggio che, partendo dall’Asia, ha cominciato a colpire bersagli europei. Dietro la campagna c’è un gruppo cinese identificato come TA4922, attivo ormai da oltre un anno e con una lista di obiettivi che si allunga mese dopo mese. Prima Giappone, Taiwan, Singapore, Corea del Sud e India. Poi, più di recente, aziende che operano in paesi europei come Italia, Germania e Regno Unito.

Come si muovono i cybercriminali cinesi

Le tecniche per ingannare le vittime non sono poche, e qui sta la parte interessante. In alcuni casi i criminali provano addirittura a contattare le persone tramite WhatsApp, LINE o Microsoft Teams, una mossa che rende il tutto più credibile e meno sospetto. Ma il grosso del lavoro passa ancora dal vecchio caro phishing. I dipendenti delle organizzazioni prese di mira ricevono email che sembrano arrivare dal responsabile delle risorse umane, con un tono abbastanza ufficiale da abbassare la guardia.

Dentro al messaggio c’è un link a un archivio ZIP, ospitato sul servizio GoFile, che dovrebbe contenere un documento importante. In altri casi il file ZIP viaggia direttamente come allegato. Aprendolo, però, di documento neanche l’ombra: ci sono un eseguibile e una DLL. Basta avviare il file eseguibile e la DLL viene caricata in memoria, una tecnica nota come DLL sideloading, e da lì parte l’infezione vera e propria.

Cosa riesce a fare Atlas RAT una volta dentro

Il nome dice già parecchio. Un RAT è un malware pensato per garantire l’accesso remoto al computer, e Atlas RAT non fa eccezione. Anzi, fa molto di più. Una volta installato, si comporta come uno spyware a tutto tondo. Può raccogliere informazioni sul sistema colpito, portare via dati, scaricare altri payload e proseguire l’attacco. Può registrare audio e video tramite la webcam, intercettare i tasti premuti con il keylogging, scattare screenshot, leggere il contenuto degli appunti e perfino inviare comandi per riavviare o spegnere la macchina.

C’è poi un aspetto che lo rende particolarmente fastidioso da individuare. Atlas RAT integra moduli anti analisi e anti sandbox: in pratica, quando si accorge della presenza di strumenti usati dai ricercatori di sicurezza, si chiude da solo per non farsi studiare. I dati raccolti vengono poi spediti verso il server C2, ossia il centro di comando e controllo gestito dagli attaccanti.