Malware-as-a-service

Eternity Project, il kit pronto all’uso per distribuire ransomware, rubare dati e sferrare attacchi DDoS

Si chiama Eternity Project il nuovo malware-as-a-service che consente agli attori delle minacce di acquistare un toolkit che può essere personalizzato a seconda dell’attacco da condurre: furto di dati, cryptominer, ransomware, DDoS. Ecco tutti i dettagli e le best practice per difendersi da queste nuove minacce

16 Mag 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Tramite il paradigma malware-as-a-service i cyber criminali starebbero mettendo in vendita un toolkit personalizzabile con moduli diversi a seconda delle necessità: il progetto chiamato Eternity Project includerebbe moduli infostealer, clipper, worm+dropper, miner e ransomware tutti acquistabili separatamente, mentre il modulo bot DDoS attualmente sarebbe ancora in fase di sviluppo.

La scoperta di questa nuova temibile minaccia è stata fatta dagli specialisti di Cyble Research Labs che, durante le loro attività di ricerca e analisi, si sono imbattuti in un sito web TOR istituito per offrire in vendita questo particolare kit malware pronto all’uso.

Il sito del progetto Eternity

Telegram come canale promozionale di Eternity Project

Il “servizio” Eternity project nella sua interezza, secondo l’indagine dei ricercatori, verrebbe promosso anche su un canale Telegram dedicato che conterebbe più di 500 membri, fornendo aggiornamenti, istruzioni d’uso e suggerimenti.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

In particolare, agli acquirenti, una volta ottenuto il kit malware, sarebbe concesso l’utilizzo di un bot builder Telegram per creare in autonomia i file binari secondo le funzionalità desiderate.

Si è “osservato un aumento significativo della criminalità informatica attraverso i canali di Telegram e i forum sulla criminalità informatica in cui i tecnici vendono i loro prodotti senza alcuna regolamentazione. Abbiamo riscontrato che i prodotti Eternity sono stati venduti su uno di questi canali Telegram e sul sito Web TOR”, questo il commento di Cyble Research Labs.

I moduli di Eternity Project: listino prezzi e caratteristiche

I venditori riportano per ciascun modulo un listino prezzi e le caratteristiche peculiari, pubblicizzando di fatto le sofisticate capacità del malware Eternity Project nel suo complesso.

Eternity Stealer

L’infostealer, che viene venduto come abbonamento annuale a $260, avrebbe diverse funzionalità tra cui carpire password, codici carte di credito, cookie, dati di riempimento automatico archiviati in più di venti browser Web e rubare informazioni da cold wallet, gestori di password, client VPN e messenger, inviandoli al bot Telegram controllato dall’attore della minaccia.

Esaminando il modulo stealer, gli analisti di Cyble fanno notare diverse somiglianze con Jester Stealer. Entrambi probabilmente sarebbero derivati dal progetto GitHub DynamicStealer.

Questo è il payload del modulo Eternity Stealer:

SHA256: eb812b35acaeb8abcb1f895c24ddba8bb32f175308541d8db856f95d02ddcfe2

Eternity Miner

Il modulo miner al costo annuale di 90 dollari includerebbe una funzione di occultamento del task manager, il riavvio automatico in caso di arresto e la persistenza all’avvio allo scopo di utilizzare le risorse del computer infetto per estrarre criptovaluta (Monero).

Eternity Clipper

Il clipper venduto per $110 sarebbe una utility che consentirebbe di monitorare gli appunti per gli indirizzi dei portafogli di criptovaluta e sostituirli con indirizzi controllati dall’operatore malevolo, supportando diversi formati tra cui BTC, LTC, ZEC e BCH.

Questo il payload del modulo Eternity Clipper:

SHA256: 025e74a98cb22aab0eb2dbff69cb5abd4f1d529925d9e456f92f5fd6ff1e11c3

Eternity Worm+Dropper

Gli sviluppatori vendono l’Eternity Worm per $390. Sarebbe secondo la promozione un malware con capacità di diffondersi tramite driver USB, condivisioni di rete locali, file locali, unità cloud, progetti Python e spamming via account Discord e Telegram.

Questo il payload del modulo Eternity Worm:

SHA256: 656990efd54d237e25fdb07921db3958c520b0a4af05c9109fe9fe685b9290f7

Eternity ransomware

Il modulo Eternity ransomware è offerto ad un prezzo di $490. Supporta la crittografia offline e impiega una combinazione di algoritmi AES e RSA per crittografare documenti, foto, database, condivisioni locali e unità USB.

Sebbene i venditori affermino che si tratti di un malware FUD (Fully UnDetectable) il campione risulta ampiamente rilevato su VirusTotal.

Infine la compilazione del binario prevede come opzione predefinita del ransomware l’impostazione di un timer per il pagamento del riscatto che rende i file crittografati completamente irrecuperabili alla sua scadenza. 

Timer ransomware che minaccia di distruggere i file

Questo il payload del modulo Eternity Ransomware:

SHA256: 55bf0aa9c3d746b8e47635c2eae2acaf77b4e65f3e6cbd8c51f6b657cdca4c91

Le buone pratiche consigliate

Fondamentale per ottenere la prima linea di difesa contro i malware risulta sempre la prevenzione.

I ricercatori concludono raccomandando le seguenti best practice base per difendersi da questa tipologia di minaccia:

  1. condurre backup regolari e offline o in reti separate;
  2. aggiornare il software su computer e su ogni dispositivo connesso;
  3. utilizzare software antivirus affidabili e di sicurezza Internet su tutti i dispositivi, inclusi PC, laptop e dispositivi mobili;
  4. prestare attenzione nell’aprire collegamenti e allegati e-mail non attendibili senza verificarne l’autenticità.

Sebbene non sia chiaro se si tratti di una reale minaccia oppure di una truffa, Eternity Project Malware in ogni caso è il frutto di un trend che va affermandosi negli ultimi anni ovvero il mettere a disposizione di tutti malware come servizi a pagamento.

Un prodotto del genere potrebbe certamente rappresentare una potente arma nelle mani di criminali esperti, ma ancora più pericolosa nelle disponibilità di malintenzionati improvvisati in cerca di bravate. Gli esiti in quest’ultimo caso potrebbero davvero essere di gravità imprevedibile.

WHITEPAPER
Costruire una VERA DATA STRATEGY: machine learning, sicurezza e valorizzazione del dato.
Amministrazione/Finanza/Controllo
Big Data
@RIPRODUZIONE RISERVATA

Articolo 1 di 4