Ancora
Gli attori delle minacce con motivazioni finanziarie continuano a sperimentare nuove famiglie di malware che spesso finiscono per essere utilizzate in combinazione con noti trojan come TrickBot. Il Trojan bancario TrickBot è percepito come una delle minacce informatiche più attive del 2019 ed è stato utilizzato di recente negli attacchi contro dispositivi point-of-sale appartenenti a vari fornitori in tutto il mondo. Ciò che risalta in questa recente campagna è che ha comportato l'uso di una famiglia di malware che non era mai stata vista in precedenza: la minaccia funziona come Trojan backdoor e si basa sul protocollo DNS per comunicare con il suo server Command and Control. Alla minaccia è stato dato il nome di Anchor e un'attenta analisi del suo codice sorgente ha rivelato che era stato utilizzato in altri attacchi verificatisi negli ultimi 12 mesi.
Anchor Backdoor si affida al protocollo DNS per ricevere i comandi
La backdoor Anchor non è speciale in termini di funzionalità che supporta sicuramente: fornisce ai suoi operatori le capacità di base per eseguire comandi remoti, nonché per recuperare file da un URL ed eseguirli sull'host compromesso. Tuttavia, c'è una cosa nella backdoor di Anchor che lo rende migliore di minacce simili: utilizza il protocollo DNS per recuperare i comandi dal server di controllo. Questo è uno dei motivi principali per cui la backdoor di Anchor è riuscita a non essere rilevata per così tanto tempo: le comunicazioni DNS vengono filtrate raramente da soluzioni firewall e prodotti antivirus poiché ciò può spesso interferire con le connessioni utilizzate dal software legittimo. Utilizzando esclusivamente il protocollo DNS, la backdoor Anchor è in grado di funzionare senza generare traffico di rete rumoroso che sarebbe facilmente individuabile da strumenti automatizzati.
Uno dei probabili sospetti dietro l'ultima campagna Trojan.TrickBot e Anchor è FIN6, un attore di minaccia motivato finanziariamente che è regolarmente coinvolto in attacchi contro i dispositivi del punto vendita in tutto il mondo.
Gli attori delle minacce con motivazioni finanziarie continuano a frodare imprese di decine di milioni di dollari ogni anno. FIN6 è uno dei gruppi più noti di criminalità informatica, ma ce ne sono molti altri che stanno aspettando la loro possibilità di prendere i soldi delle aziende in tutto il mondo - è importante proteggere la tua rete aziendale con l'uso di una sicurezza informatica aggiornata e affidabile prodotti.
