Malware LabRat

Un insidioso pacchetto malware eccezionalmente difficile da rilevare ha suscitato preoccupazioni a causa della sua apparente capacità di aggirare numerose misure difensive e protocolli di sicurezza. Una ricerca approfondita condotta da esperti ha svelato il malware LabRat, che mostra un notevole livello di sofisticazione nelle sue strategie per rimanere nascosto e operativo senza essere rilevato.

A differenza della maggior parte degli attacchi informatici simili che privilegiano la velocità rispetto alla sottigliezza, l’implementazione del malware LabRat dimostra un elevato grado di sofisticazione. Questo autore di minacce ha progettato meticolosamente le proprie operazioni prestando particolare attenzione alla furtività, un fattore che molti aggressori tendono a trascurare. Questi sforzi coscienziosi da parte dell’autore della minaccia sono destinati ad aumentare significativamente le sfide affrontate dai difensori nell’identificare e contrastare questa minaccia.

Il malware LabRat esegue azioni di crittografia e proxyjacking

L'analisi del malware LabRat mostra che la minaccia è un'istanza relativamente tipica di uno strumento di cryptojacking e proxy jacking. In una campagna di cryptojacking, gli aggressori utilizzano di nascosto il computer della vittima per estrarre criptovaluta, generando profitti sfruttando le risorse della vittima. D'altro canto, una campagna di proxy jacking implica l'inclusione silenziosa del computer della vittima in una rete di condivisione della larghezza di banda peer-to-peer, che avvantaggia l'aggressore espandendo le proprie risorse.

Il metodo di attacco si basa su una vulnerabilità riconosciuta all'interno dei server GitLab (CVE-2021-2205), sfruttandola per ottenere l'esecuzione di codice in modalità remota e introdurre il carico utile del malware sulla macchina compromessa.

Ciò che distingue questa particolare campagna di attacco, tuttavia, è la notevole dedizione mostrata dai creatori del malware nel nascondere il proprio codice. Inoltre, l'adozione del servizio TryCloudFlare per instradare il traffico aggiunge un ulteriore livello, mascherando efficacemente le identità degli aggressori dai sistemi che hanno compromesso.

L'operazione LabRat Attack mostra un focus significativo sulla furtività

Il malware LabRat è potenziato con una crittografia robusta e sofisticate tecniche di anti-reverse engineering, rendendone il rilevamento un compito estremamente impegnativo. I file binari di persistenza, codificati in Go, hanno mostrato una notevole capacità di passare inosservati, così come i componenti del cryptominer utilizzati nell'attacco.

I ricercatori hanno osservato che il gruppo LabRat aveva mostrato un eccezionale livello di impegno nei loro sforzi per oscurare il codice, consentendo al minaccioso carico utile di operare di nascosto. In effetti, gli autori delle minacce dietro questa campagna sembrano porre maggiore enfasi sul mantenimento della furtività rispetto a molte altre, poiché riconoscono che il tempo corrisponde direttamente a un aumento del guadagno finanziario. Più a lungo riescono a sostenere l'accesso durante l'esecuzione del software di proxy jacking e cryptomining, maggiore sarà il loro rendimento monetario.

L’importanza di rimanere inosservati è particolarmente significativa nel contesto del proxy jacking, dove l’efficacia di una rete non attribuibile è direttamente collegata al numero di nodi al suo interno. Se il numero dei nodi diminuisce, il servizio diventa vulnerabile al blocco o semplicemente diventa inefficace.