Gli hacker Carbanak utilizzano il malvagio malware Bateleur per attaccare le catene di ristoranti negli Stati Uniti

Un gruppo di hacker che si chiama Carbanak ha deciso di infiltrarsi nei server delle catene di ristoranti negli Stati Uniti. Se non hai familiarità con questi famigerati criminali informatici, è fondamentale che li presentiamo. L'attacco malware non è solo i tuoi aspiranti hacker di tutti i giorni che eseguono attacchi su piccola scala con malware mal codificato. No, no, Carbanak è nella grande lega. Il gruppo di hacker è stato rilevato per la prima volta dalla società di sicurezza informatica russa Kaspersky Lab nel 2014. Carbanak non si rivolge a utenti regolari, ma a grandi istituzioni finanziarie . Il metodo usuale per eseguire i loro attacchi è tramite e-mail di phishing. È difficile stimare esattamente quale sia la somma totale generata dalle loro attività illegali, ma si ritiene che sia compresa tra $ 500 milioni e $ 1 miliardo. Con queste informazioni che fanno luce sulla portata del crimine informatico in cui è coinvolta Carbanak, entriamo nei dettagli dell'attacco in questione.

Come Bateleur infetta

La truffa di phishing di cui parliamo oggi è stata scoperta per la prima volta dagli esperti di Proofpoint. Hanno chiamato il malware dopo una razza di aquila: Bateleur. Ecco come inizia tutto: il ristorante preso di mira riceve un'e-mail apparentemente innocua. L'e-mail di per sé molto probabilmente non causerebbe alcun sospetto: viene inviata da un indirizzo Gmail o Outlook. Afferma che si tratta di un assegno che presumibilmente è già stato discusso. Contiene un documento di Word che ha lo scopo di indurre il destinatario a pensare che questo sia, in effetti, il controllo. Ecco dove diventa pericoloso: il documento allegato al messaggio di posta elettronica fraudolento è crittografato e contiene anche un avviso che indica che il file è stato protetto da "Google Documents Protect Service" o "Outlook Protect Service" (a seconda quale provider gli aggressori hanno utilizzato per inviare il messaggio). Tuttavia, nessuno di questi "servizi di protezione" esiste e non sono altro che un semplice ma astuto trucco il cui scopo è indurre la vittima a pensare che il file che stanno per aprire sia legittimo. Nella parte inferiore del documento, gli utenti troveranno i loghi di alcuni famosi fornitori di prodotti antivirus, che sono posizionati lì per convincere ulteriormente la vittima a pensare che il file sia affidabile. Il documento richiederebbe alla vittima di abilitare la modifica e, nel caso in cui l'utente cada nell'inganno di Carbanak, il documento procede a distribuire il suo payload dannoso.

Le capacità offensive e difensive di Bateleur

Una volta che Bateleur ha trovato la sua strada nel sistema della vittima, inizia a funzionare. Questa minaccia è particolarmente subdola in quanto dispone di un'intera serie di strumenti anti-rilevamento. Bateleur è in grado di riconoscere se si trova in una sandbox, un ambiente controllato che i ricercatori di malware utilizzano per studiare le minacce e sviluppare strumenti per combatterle. In tal caso, Bateleur interromperà i suoi processi e quindi impedirebbe agli esperti di malware di sceglierlo. Un'altra delle sue capacità astute è l'offuscamento. Questa è la capacità di una minaccia di offuscare il proprio codice e quindi di renderne l'analisi quasi impossibile.

Dopo aver elencato le capacità difensive di Bateleur, è ora di entrare nel potere offensivo della minaccia. Il Trojan è in grado di estrarre informazioni importanti sulla configurazione del computer della vittima e sui processi in esecuzione. Oltre a ciò, offre agli aggressori remoti la possibilità di eseguire comandi e script di PowerShell. Inoltre, Bateleur è completamente in grado di aggiornare i suoi moduli principali e persino di disinstallarsi da solo. Il Trojan è in grado di acquisire screenshot dei dati che ritiene importanti e di inviarli ai server di controllo di Carbanak . Bateleur è anche pensato per essere in grado di rubare le password , ma la sua versione attuale manca di alcuni moduli necessari per abilitare questa particolare funzione. Tuttavia, conoscendo il livello in cui opera Carbanak, gli esperti di malware si aspettano che questo venga presto aggiunto a Bateleur.

Considerando tutte le misure di sicurezza che Carbanak ha adottato per rendere Bateleur il più impenetrabile possibile, sembra che questo Trojan continuerà a rappresentare una grande minaccia per aziende e istituzioni, molte delle quali non riconoscono l'importanza di mantenere il proprio software aggiornato data e l'acquisto di una suite di sicurezza affidabile.