ShellClient Malware

I ricercatori di Infosec hanno scoperto un nuovo malware di spionaggio che fa parte del toolkit-a di un attore di minacce precedentemente sconosciuto. Chiamato ShellClient, la minaccia è un Trojan di accesso remoto (RAT) che sembra essere distribuito solo in operazioni di spionaggio informatico altamente mirate.

Nuovo attore di minacce

Il malware ShellClient viene attribuito a un gruppo di criminalità informatica separato che viene tracciato come MalKamak. Si ritiene che gli hacker siano responsabili di una serie di attacchi di ricognizione mirati contro obiettivi provenienti da una moltitudine di paesi diversi, tra cui Stati Uniti, Russia, membri dell'UE e paesi del Medio Oriente. L'obiettivo degli hacker sembra essere l'acquisizione di informazioni altamente sensibili da una manciata di obiettivi specificatamente scelti. Alcune sovrapposizioni nel codice, nelle convenzioni di denominazione e nelle tecniche utilizzate indicano che MalKamak è un gruppo di criminalità informatica di stato nazionale con collegamenti con l'Iran.

Funzionalità ed evoluzione minacciose

Il malware ShellClient è progettato per essere particolarmente furtivo, garantendo una presenza prolungata sulle macchine compromesse. La minaccia si traveste da "RuntimeBroker.exe". Il processo legittimo è responsabile della gestione delle autorizzazioni per le applicazioni di Microsoft Store.

Le prime versioni del malware risalgono al 2018 ma, a quei tempi, ShellClient era una minaccia molto diversa: solo una semplice shell inversa autonoma. Negli anni successivi, gli hacker MalKamak hanno rilasciato diverse versioni del malware trasformandolo sempre più in un vero e proprio RAT ad ogni successiva. Ad esempio, l'iterazione 4.0 includeva un migliore offuscamento del codice, l'uso del packer Costura, la rimozione del dominio C2 utilizzato dal 2018 e l'aggiunta di un client Dropbox. Resta da vedere se lo sviluppo della minaccia ha raggiunto un punto finale.