Malware kkRAT
I ricercatori di Infosec hanno scoperto una campagna malware attiva rivolta agli utenti di lingua cinese che utilizza un trojan di accesso remoto precedentemente non documentato denominato kkRAT. La campagna sembra essere in corso dall'inizio di maggio 2025 e combina le consuete tecniche RAT con loader modulari e tecniche di inganno per eludere il rilevamento e ottenere persistenza.
Sommario
ORIGINI DELLA MINACCIA E LINK ALLA LINEA DI CODICE
L'analisi mostra che kkRAT trae spunto da famiglie consolidate: il suo protocollo di rete e alcune strutture di codice assomigliano a quelli utilizzati da Gh0st RAT (Ghost RAT) e Big Bad Wolf (大灰狼), un RAT storicamente utilizzato da gruppi di criminali informatici con sede in Cina. Gli autori hanno aggiunto una crittografia aggiuntiva alla compressione, creando un canale di comunicazione simile a Ghost con un ulteriore passaggio di crittografia.
METODO DI CONSEGNA — INSTALLATORI FALSI OSPITATI SULLE PAGINE GITHUB
Gli autori hanno ospitato pagine di phishing su GitHub Pages, spacciandosi per applicazioni popolari (ad esempio, DingTalk) e diffondendo tre trojan tramite falsi installer. Abusando della reputazione di GitHub, gli autori hanno aumentato la probabilità che le vittime si fidassero e utilizzassero gli installer. Gli esperti sottolineano che l'account GitHub utilizzato per ospitare le pagine non è più disponibile.
COMPORTAMENTO DELL’INSTALLATORE
Una volta eseguito, il falso programma di installazione esegue diversi controlli per rilevare ambienti sandbox e macchine virtuali e tenta di aggirare i controlli di sicurezza. Richiede i privilegi di amministratore; se concessi, enumera e disabilita temporaneamente le schede di rete attive, una funzionalità utilizzata per interferire con i controlli di rete dell'antivirus e interrompere il normale funzionamento dell'antivirus mentre procede con le modifiche.
TECNICHE ANTI-AV
Il malware utilizza la tecnica Bring-Your-Own-Vulnerable-Driver (BYOVD) per neutralizzare le protezioni degli endpoint, riutilizzando il codice del progetto open source RealBlindingEDR. Cerca e prende di mira specificamente le seguenti suite di protezione per utenti privati e aziende:
Suite di sicurezza Internet 360
Sicurezza totale a 360 gradi
Suite di diagnostica del sistema HeroBravo
Kingsoft Internet Security
QQ foto
Dopo aver terminato i processi antivirus interessati, il programma di installazione crea un'attività pianificata, eseguita con privilegi di SISTEMA, che esegue uno script batch a ogni accesso utente, garantendo che i processi antivirus interessati vengano terminati automaticamente a ogni accesso. Il malware modifica anche le voci del Registro di sistema di Windows in modo coerente con la disattivazione dei controlli di rete, per poi riattivare le schede di rete una volta completate le modifiche.
CATENA DI CARICO UTILE
Il ruolo principale del programma di installazione è quello di eseguire lo shellcode, che recupera ed esegue un file shellcode secondario offuscato denominato "2025.bin" da un URL hard-coded. Tale shellcode funge da downloader e recupera un artefatto denominato "output.log", che a sua volta contatta due URL per scaricare due archivi ZIP:
- trx38.zip — contiene un eseguibile legittimo più una DLL dannosa che viene avviata tramite il sideloading della DLL.
- p.zip — contiene un file denominato longlq.cl che contiene un payload finale crittografato.
Il malware crea un collegamento all'eseguibile legittimo da trx38.zip, lo inserisce nella cartella di avvio dell'utente per la persistenza ed esegue l'eseguibile legittimo in modo da caricare lateralmente la DLL dannosa. La DLL decrittografa ed esegue il payload finale contenuto in longlq.cl. Il payload finale della campagna varia a seconda dell'istanza; un payload confermato è kkRAT.
CAPACITÀ DI kkRAT (COMANDI, PLUGIN E COMPORTAMENTO)
kkRAT si connette a un server C2 tramite un socket, traccia il profilo dell'host infetto e scarica plugin e comandi che consentono un controllo remoto esteso e la raccolta dati. Le sue capacità osservate includono:
- cattura dello schermo e simulazione dell'input dell'utente (tastiera e mouse)
- lettura e modifica del contenuto degli appunti (utilizzato per la sostituzione degli indirizzi di criptovaluta)
- abilitazione della funzionalità desktop remoto e avvio/chiusura remota delle applicazioni, inclusi i browser
- esecuzione di comandi remoti tramite una shell interattiva
- gestione di Windows sullo schermo e elenchi/terminazione dei processi
- enumerazione delle connessioni di rete attive
- elencare le applicazioni installate e disinstallare il software selezionato
- lettura dei valori del Registro di sistema di esecuzione automatica ed enumerazione delle voci di esecuzione automatica
- agendo come proxy SOCKS5 per instradare il traffico e potenzialmente bypassare firewall o VPN
- installazione e distribuzione di strumenti di gestione remota come Sunlogin e GotoHTTP
- meccanismi di persistenza e un ampio set di comandi per richiamare plugin e funzioni operative
kkRAT contiene anche la funzionalità clipper che sostituisce gli indirizzi dei wallet di criptovalute copiati e routine per cancellare i dati da una serie di browser e app di messaggistica (esempi osservati: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer e Telegram).
SOMMARIO — PERCHÉ LA CAMPAGNA DI ATTACCO È SIGNIFICATIVA
Questa campagna è degna di nota per la combinazione di: distribuzione di social engineering tramite pagine GitHub dall'aspetto legittimo; tecniche avanzate di anti-analisi e anti-AV (rilevamento sandbox/VM, BYOVD tramite codice RealBlindingEDR); un caricatore multistadio che utilizza il sideloading di DLL e contenitori di payload crittografati; e un RAT completo (kkRAT) che supporta sia il furto di informazioni (dirottamento degli appunti, cattura dello schermo, esfiltrazione di dati) sia strumenti operativi (strumenti di gestione remota, proxy). L'architettura modulare consente di scambiare il payload finale, aumentando la flessibilità per gli operatori e complicando il rilevamento e l'attribuzione.
