Atroposia RAT
Atroposia è un Trojan di accesso remoto (RAT) commercializzato su forum underground. Fornisce ai suoi operatori un controllo profondo e furtivo sui computer compromessi e un ricco kit di strumenti per rubare dati, manipolare il comportamento della rete e sondare i sistemi alla ricerca di ulteriori punti deboli. Grazie alle sue ampie capacità e alle sue capacità di elusione, qualsiasi presenza confermata di Atroposia su un dispositivo richiede la rimozione immediata.
La minaccia malware viene offerta ai potenziali "clienti" con tre livelli di pagamento:
Affitto mensile: $200
Trimestrale: $ 500 (tre mesi)
Semestrale: $ 900 (sei mesi)
Sommario
Stealth, persistenza e canale di comando
Atroposia è progettato per rimanere nascosto. Può aumentare automaticamente i privilegi (aggirando l'UAC), impiega diverse tecniche di persistenza per sopravvivere ai riavvii ed è progettato per eludere il rilevamento antivirus. Le sue comunicazioni con i server di comando e controllo degli operatori sono crittografate e un pannello di controllo in stile web semplifica l'esecuzione di attività dannose anche per i criminali moderatamente esperti.
Controllo remoto nascosto e gestione dei file
Una caratteristica distintiva è un componente nascosto per il desktop remoto (commercializzato come "HRDP Connect") che apre una sessione invisibile sul computer della vittima, consentendo a un utente remoto di interagire con il desktop senza lasciare alcun segno visibile all'utente. A complemento di ciò, Atroposia include un file manager che consente agli aggressori di esplorare unità e cartelle, cercare file, scaricarli, eliminarli o eseguirli da remoto.
Raccolta di massa e imballaggio furtivo
Il RAT contiene un grabber che cerca i file per estensione o parola chiave e raggruppa le corrispondenze in un file ZIP protetto da password. Può assemblare e impacchettare i dati interamente in memoria o basarsi su utilità di sistema integrate, riducendo al minimo gli artefatti residui su disco e complicando il rilevamento forense.
Capacità di furto di credenziali e portafogli
Il modulo stealer di Atroposia raccoglie un'ampia gamma di dati sensibili: password salvate del browser, credenziali di applicazioni aziendali e client VPN, dati di programmi di messaggistica, dati di gestori di password, ove disponibili, e informazioni sui wallet di criptovalute. Cattura anche il contenuto degli appunti (tutto ciò che un utente copia o taglia), registra e memorizza tali voci. Può persino sovrascrivere il contenuto degli appunti per sostituire indirizzi wallet o credenziali copiati, una tecnica utile per sottrarre fondi o dirottare account.
Manipolazione della rete e dirottamento DNS
Il malware può modificare le impostazioni DNS o intercettare le ricerche di nomi in modo che il browser della vittima venga reindirizzato silenziosamente a siti falsi controllati dall'aggressore (ad esempio, pagine di accesso false). Poiché il browser potrebbe comunque visualizzare l'URL previsto, le vittime possono essere indotte a inserire le credenziali pensando di trovarsi su un sito legittimo.
Scansione delle vulnerabilità e opportunità di escalation
Atroposia include uno scanner che ispeziona l'host infetto alla ricerca di patch mancanti, configurazioni deboli e software obsoleto. Negli ambienti aziendali, questo può rivelare obiettivi di alto valore (client VPN privi di patch, bug di escalation dei privilegi o altre vulnerabilità) che gli aggressori possono poi sfruttare per espandere l'accesso a una rete.
Telemetria di sistema e utilità di controllo remoto
Oltre al furto di dati e al desktop remoto, il RAT raccoglie metadati di sistema (indirizzi IP, versione del sistema operativo, geolocalizzazione e altri dettagli ambientali), può elencare e gestire i processi in esecuzione e supporta operazioni di arresto e riavvio da remoto. Il toolkit include anche utilità aggiuntive a basso impatto che, insieme, offrono un'ampia flessibilità operativa.
Come si verificano tipicamente le infezioni
Documenti dannosi o trasformati in armi (ad esempio, PDF infetti o altri allegati distribuiti tramite e-mail)
Pacchetti di pirateria informatica, exploit drive-by, pubblicità fraudolente, falsi schemi di supporto tecnico, file P2P/condivisi, siti di download ingannevoli, programmi di installazione di terze parti e canali simili
Perché questi metodi di distribuzione hanno successo: gli aggressori si affidano all'ingegneria sociale (documenti falsi, download allettanti o richieste di esecuzione di file) o sfruttano vulnerabilità e programmi di installazione ingannevoli: la maggior parte delle infezioni si verifica quando un utente viene indotto con l'inganno a eseguire malware.
Riepilogo dell'impatto
Atroposia consente l'esfiltrazione completa dei dati (file, credenziali, dati degli appunti, portafogli crittografici), il controllo remoto occulto, il reindirizzamento della rete tramite manomissione del DNS e la ricognizione per ulteriori sfruttamenti. La sua architettura stealth (escalation dei privilegi, persistenza, packaging in-memory, C2 crittografato e sessioni remote nascoste) lo rende particolarmente pericoloso sia per gli individui che per le organizzazioni.
Risposta immediata
Se si sospetta o si rileva la presenza di Atroposia su un sistema, scollegare il dispositivo dalle reti, conservare i log per l'analisi, se possibile, e rimuovere il malware il prima possibile. Poiché gli operatori possono utilizzare credenziali raccolte e percorsi laterali, è opportuno considerare qualsiasi compromissione come potenzialmente diffusa e valutare la rotazione delle password, la revoca dei token e l'esecuzione di un'indagine interna più ampia.
