Una nuova campagna malevola sta sfruttando un sito fasullo che imita Bitdefender per distribuire VenomRAT, un malware potente e modulare, con l’obiettivo di rubare credenziali, dati sensibili e portafogli di criptovalute.
L’analisi dettagliata è stata pubblicata da DomainTools Threat Intelligence, che ha evidenziato il livello di sofisticazione e l’uso combinato di strumenti come StormKitty e SilentTrinity.
Indice degli argomenti
Il raggiro: un falso download di Bitdefender
Gli attori malevoli hanno registrato il dominio “bitdefender-download[.]com”, una copia quasi identica del sito ufficiale Bitdefender. L’unica differenza visibile è l’assenza della parola “Free” nel pulsante rosso di download, ma la struttura HTML è molto simile.
Secondo l’analisi, cliccando sul finto pulsante “Download for Windows”, verrebbe attivato un URL Bitbucket che reindirizza a un link Amazon S3 per scaricare un file ZIP.
Fonte: DomainTools.
VenomRAT: i malware usati dai cyber criminali
L’archivio compresso conterebbe al suo interno l’eseguibile “StoreInstaller.exe”, che include il malware VenomRAT, il codice del framework open source di post-exploitation SilentTrinity e lo stealer StormKitty.
“L’inclusione di SilentTrinity e StormKitty (entrambi strumenti malware open source”, si legge nel rapporto pubblicato da DomainTools, “indica il duplice obiettivo dell’attaccante: raccogliere rapidamente credenziali finanziarie e wallet di criptovalute durante l’accesso iniziale. E, intanto, stabilire un accesso furtivo e persistente per un potenziale sfruttamento a lungo termine”.
Mentre VenomRAT è un Remote Access Trojan (RAT) derivato dal codice di Quasar RAT e progettato per offrire accesso remoto persistente al sistema infetto, consentendo esecuzione di comandi da remoto, keylogging, furto di credenziali ed esfiltrazione dati, StormKitty funge da stealer, raccogliendo tra l’altro credenziali salvate nei browser, file di configurazione di VPN, wallet di criptovalute, mentre SilentTrinity viene spesso usato per movimenti laterali all’interno delle reti colpite.
In pratica, continua il rapporto, “Questi strumenti lavorano in sinergia: VenomRAT si insinua, StormKitty acquisisce le tue password e le informazioni del tuo portafoglio digitale, e SilentTrinity garantisce all’aggressore di rimanere nascosto e mantenere il controllo”.
Conclusione
DomainTools ha anche notato che il falso sito di Bitdefender presenterebbe relazioni con altri domini di phishing già utilizzati e che impersonano banche e servizi IT per rubare le credenziali di accesso di Microsoft, della Royal Bank of Canada e di IDBank.
Questa campagna mostra quanto sia facile cadere vittima di attacchi sofisticati basati sul typosquatting e la clonazione di interfacce web note.
Inoltre, l’uso combinato di RAT e infostealer rende queste infezioni particolarmente insidiose per utenti finali e aziende.
Pertanto, occorre sempre prestare la massima attenzione quando si scarica software, evitando di cliccare su link sospetti o di aprire allegati e-mail inaspettati e inserire credenziali in modo superficiale.
“Questi criminali”, conclude il rapporto, “sono alla ricerca del vostro denaro duramente guadagnato, prendendo di mira i vostri conti bancari e i vostri wallet di criptovalute con pagine di accesso false e malware camuffati da software sicuri”.
Per l’analisi tecnica completa e gli aggiornamenti sugli IoC, gli analisti hanno identificato numerosi elementi utili per la difesa e il monitoraggio condividendoli su GitHub.
Un’ultima nota finale. Attualmente il dominio in oggetto pur essendo segnalato come sito di phishing risulta ancora raggiungibile. Al riguardo ho riscontrato che l’URL “https://bitdefender-download[.]com\downloads” scarica un nuovo archivio zip “BitDefender.zip”. Attività, questa, che ho prontamente segnalato a DomainTools.
Vi terremo aggiornati su nuove eventuali evoluzioni della minaccia.
