È emerso un nuovo malware molto pericoloso e che non tutti noi conosciamo, ma che potrebbe rivelarsi essere dannoso in caso non venisse visto in tempo. Di quale virus informatico stiamo parlando esattamente?
Gli esperti di Malwarebytes Threat Intelligence hanno scoperto e analizzato un nuovo malware personalizzato e avanzato, il cui nome è Woody RAT. Da quello che è emerso sappiamo che RAT, acronimo Remote Access Tool, è stato sviluppato da uno o più hacker i cui attacchi sono rivolti a soggetti prevalentemente russi.
Per consentire al virus di diffondersi è previsto l’uso di un file-esca in formato archivio e, a quanto pare, anche Documenti Office, grazie ai quali sfruttano la vulnerabilità “Follina” in poche parole. È venuto alla luce anche che abbia avuto luogo un tentativo di attacco nei confronti di un ente operativo nei settori aerospaziale e difesa noto come OAK, sempre di nazionalità russa per una coincidenza bizzarra.
Le capacità del malware e le sue caratteristiche
Ma Woody RAT non si limita a fare soltanto quello che abbiamo detto: essendo un malware molto avanzato rispetto agli altri, fa uso anche di altre funzionalità per l’elusione del monitoraggio di rete sfruttando la crittografia dei dati per le richieste HTTP al server C2. Inoltre, grazie a degli endpoint, il malware invia al server C2 una serie di informazioni che includono gli antivirus installati, la versione build del sistema operativo, dati sulle unità di archiviazione, interfacce di rete e un elenco di tutti gli account utente.
Come se non bastasse i comandi dei quali fa uso sono davvero tanti, e tutti quanti includono la possibilità di caricare file nella macchina infetta, eseguire azioni inviate dal server C2 attraverso la creazione di un processo cmd.exe, eliminare file o effettuare screenshot del desktop. Quando ha finito il suo lavoro, si auto-elimina dal disco e scompare misteriosamente.
Non potendo riportare tutte le sue funzioni sappiate soltanto che ciò che sia in grado di fare non ha limiti. Oltre ad essere davvero sofisticato, in base alle ricerche effettuate è possibile che Woody RAT – in realtà – circoli da almeno un anno. Comunque sia la società ha già bloccato già l’exploit Follina sfruttato nell’ultima campagna in cui è stato impiegato il malware, inoltre sembra che i payload binari siano già stati individuati.
🔴 Fonte: www.tomshw.it