Preventivo sconto multi-licenza
Database delle minacce Malware RTX RAT

RTX RAT

Entro Mezo nel Malware, Strumenti di amministrazione remota
Traduci in:

Un incidente di sicurezza che ha coinvolto CPUID ha esposto gli utenti a software dannoso attraverso il suo sito web ufficiale, cpuid.com. Per un periodo inferiore a 24 ore, i malintenzionati sono riusciti a manipolare i link di download per distribuire versioni infette di strumenti di monitoraggio hardware ampiamente utilizzati.

La violazione si è verificata tra il 9 aprile alle 15:00 UTC e il 10 aprile alle 10:00 UTC, periodo durante il quale i link di installazione legittimi sono stati sostituiti a intermittenza con reindirizzamenti dannosi. È importante sottolineare che CPUID ha confermato che i suoi file binari originali firmati sono rimasti intatti, poiché la violazione è derivata da una funzionalità secondaria, essenzialmente un'API laterale, che ha causato la visualizzazione casuale di link dannosi sul sito web, anziché alterare il software principale.

Infrastruttura dannosa: domini illegali dietro l'attacco

Le indagini condotte dai ricercatori di sicurezza informatica hanno identificato diversi domini utilizzati per ospitare e distribuire i payload infetti da trojan. Questi siti web fraudolenti hanno svolto un ruolo centrale nel reindirizzare gli utenti ignari verso download compromessi:

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transpalermo[.]com
  • Vatrobran[.]hr

Questi domini facevano parte di un'infrastruttura più ampia progettata per supportare la distribuzione di malware e le operazioni di comando e controllo.

Meccanismo di consegna furtivo: abuso del caricamento laterale di DLL

Gli aggressori hanno utilizzato una nota tecnica di elusione chiamata "DLL side-loading". I pacchetti dannosi sono stati distribuiti sia come archivi ZIP che come programmi di installazione autonomi, ciascuno contenente due componenti: un eseguibile legittimo e firmato e una libreria di collegamento dinamico malevola denominata "CRYPTBASE.dll".

Sfruttando la fiducia riposta nei file binari firmati, la DLL dannosa è stata caricata durante l'esecuzione, consentendo una compromissione occulta. Prima di avviare ulteriori azioni, il malware ha effettuato controlli anti-sandbox per evitare di essere rilevato negli ambienti di analisi. Una volta superati questi controlli, ha contattato un server esterno per recuperare ulteriori payload.

Implementazione di STX RAT: uno strumento versatile per la post-sfruttamento

L'obiettivo finale della campagna era quello di diffondere STX RAT, un potente trojan per l'accesso remoto dotato di funzionalità HVNC (Hidden Virtual Network Computing) e di ampie capacità di furto di dati.

Questo malware consente agli aggressori di mantenere un controllo persistente sui sistemi infetti ed eseguire un'ampia gamma di attività post-sfruttamento, tra cui:

  • Esecuzione in memoria di file EXE, DLL, script PowerShell e shellcode.
  • Proxy inverso e tunneling di rete
  • Interazione e sorveglianza del desktop remoto

Tali capacità rendono STX RAT particolarmente pericoloso sia in ambito individuale che aziendale.

Sovrapposizione delle campagne: collegamenti con precedenti attacchi di FileZilla

L'analisi ha rivelato che l'infrastruttura di comando e controllo (C2) utilizzata in questo incidente era stata precedentemente associata a una campagna separata che coinvolgeva programmi di installazione di FileZilla infettati da trojan. Il riutilizzo delle stesse configurazioni dei server e degli stessi domini di comunicazione indica chiaramente una sovrapposizione operativa tra le due campagne.

Questa ripetizione di tattiche, tecniche e infrastrutture ha fornito preziosi indicatori per l'individuazione e l'attribuzione.

Operazione a lungo termine: una cronologia della campagna di 10 mesi

Ulteriori indagini suggeriscono che la violazione del CPUID faccia parte di una campagna più ampia iniziata nel luglio 2025. Il primo campione di malware conosciuto, identificato come 'superbad.exe', è stato osservato comunicare con un server di comando e controllo all'indirizzo 95.216.51.236.

Gli esperti di sicurezza ritengono che l'autore della minaccia sia probabilmente di lingua russa e che possa essere motivato da interessi economici o agire come intermediario per l'accesso iniziale, ovvero un'entità specializzata nell'ottenere l'accesso ai sistemi e nel venderlo ad altri criminali informatici.

Valutazione d'impatto: portata globale con vittime diverse

L'attacco ha colpito oltre 150 vittime accertate, prevalentemente singoli utenti. Tuttavia, anche organizzazioni di diversi settori hanno subito violazioni, tra cui la vendita al dettaglio, la produzione, la consulenza, le telecomunicazioni e l'agricoltura.

Dal punto di vista geografico, la maggior parte delle infezioni è stata identificata in Brasile, Russia e Cina, il che indica una strategia di targeting ampia e opportunistica.

Punti deboli operativi: errori che hanno portato al rilevamento

Nonostante la portata della campagna, diverse falle nella sicurezza operativa hanno compromesso significativamente l'efficacia degli aggressori. Il riutilizzo di catene di infezione identiche, payload STX RAT e domini di comando e controllo provenienti da campagne precedenti ha reso più facile tracciare e correlare l'attività.

Queste carenze suggeriscono una sofisticazione relativamente bassa nelle pratiche di sviluppo e distribuzione del malware. Di conseguenza, i difensori sono stati in grado di rilevare l'attacco watering hole rapidamente dopo il suo avvio, limitandone l'impatto complessivo e la finestra di esposizione.


Tendenza

I più visti

Caricamento in corso...