KamiKakaBot
È stata rilevata una nuova ondata di attacchi informatici, che prendono di mira organizzazioni governative e militari nei paesi del sud-est asiatico. Questi attacchi sono attribuiti al gruppo Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), noto anche come Saaiwc. Tra gli strumenti personalizzati utilizzati da Dark Pink ci sono TelePowerBot e KamiKakaBot, che consentono al gruppo di eseguire comandi arbitrari e rubare dati sensibili dai dispositivi infetti.
Si ritiene che Dark Pink provenga dalla regione Asia-Pacifico ed è attiva almeno dalla metà del 2021. Tuttavia, le sue attività sono aumentate nel 2022 e nel 2023, come evidenziato dai recenti attacchi a entità governative e militari nel sud-est asiatico. L'uso di malware sofisticati come KamiKakaBot sottolinea le capacità e la determinazione del gruppo nel raggiungere i propri obiettivi. Questi attacchi rappresentano una seria minaccia per la sicurezza nazionale ed evidenziano la necessità di una maggiore vigilanza e misure proattive per mitigare il rischio di attacchi informatici.
Gli hacker usano tattiche di phishing e documenti esca
Secondo un recente rapporto della società olandese di sicurezza informatica EclecticIQ, nel febbraio 2023 è stata scoperta una nuova ondata di attacchi che somigliava molto agli attacchi precedenti. Tuttavia, c'era una differenza significativa in questa campagna: la routine di offuscamento del malware è stata migliorata per evitare meglio il rilevamento da parte di misure anti-malware.
Gli attacchi seguono una strategia di ingegneria sociale che prevede l'invio di messaggi di posta elettronica contenenti allegati di file immagine ISO a obiettivi ignari. Il file immagine ISO contiene tre componenti: un eseguibile (Winword.exe), un caricatore (MSVCR100.dll) e un documento Microsoft Word esca. Il documento Word è una distrazione, mentre il caricatore è responsabile del caricamento del malware KamiKakaBot.
Per eludere le protezioni di sicurezza, il caricatore utilizza il metodo di caricamento laterale DLL per caricare KamiKakaBot nella memoria del binario Winword.exe. Questo metodo consente al malware di aggirare le misure di sicurezza che altrimenti ne impedirebbero l'esecuzione.
KamiKakaBot può rubare informazioni sensibili dai dispositivi violati
KamiKakaBot è un programma software dannoso progettato per infiltrarsi nei browser Web e rubare dati sensibili. Questo malware è anche in grado di eseguire codice remoto utilizzando il prompt dei comandi (cmd.exe). Per eludere il rilevamento, il malware incorpora tecniche sofisticate per mimetizzarsi con l'ambiente della vittima ed evitare il rilevamento.
Una volta che un host viene compromesso, il malware stabilisce la persistenza abusando della libreria Winlogon Helper per apportare modifiche dannose alla chiave di registro di Windows. Ciò consente al malware di non essere rilevato e di continuare a svolgere le sue attività dannose. I dati rubati vengono quindi inviati a un bot di Telegram come archivio ZIP.
Secondo gli esperti di sicurezza informatica, l'uso di servizi Web legittimi come Telegram come server di comando e controllo (C2, C&C) è una tattica comune utilizzata dagli attori delle minacce. Questo approccio rende più difficile rilevare e arrestare il malware, poiché il traffico sembra essere una comunicazione legittima con il servizio web. Queste tattiche sono impiegate non solo dai normali criminali informatici, ma anche da attori avanzati di minacce persistenti.
Data la crescente sofisticazione di questi attacchi, è fondamentale che le organizzazioni adottino misure proattive per prevenire gli attacchi informatici. Ciò include l'implementazione di solide misure di sicurezza per proteggere dal malware, mantenere aggiornato il software e istruire i dipendenti su come identificare ed evitare attacchi di phishing.
