Dati bancari rubati: Qualys lancia allarme su campagna malware BitRAT

Secondo l'azienda di cloudsecurity Qualys, gli attori che si celano dietro a una recente campagna malware hanno usato le informazioni rubate a clienti di banche colombiane come esche in e-mail di phishing progettate per infettare gli utenti con il noto trojan di accesso remoto BitRAT.

Autore: Redazione BitCity

Qualys ha scoperto, nel corso di indagini su attacchi di phishing, che l'infrastruttura di una banca cooperativa colombiana è stata oggetto di dirottamenti di traffico verso siti malevoli per l’esfiltrazione di dati. Dai server violati sono stati rubati in totale 418.777 record contenenti dati sensibili dei clienti, tra cui nomi, numeri di telefono, indirizzi e-mail, indirizzi, ID nazionali colombiani, record di pagamento e informazioni sugli stipendi. Durante le indagini sulla campagna, Qualys ha anche trovato le prove che gli aggressori hanno avuto accesso ai dati dei clienti, compresi i log che mostrano come siano stati cercati bug su DB SQL, tramite injection utilizzando strumenti pubblici e opensource. "Le esche stesse, inoltre, contengono dati sensibili della banca così da apparire legittime all’ignaro utente. Ciò significa che l'attaccante ha avuto accesso ai dati dei clienti", dichiara Qualys. "Scavando più a fondo nell'infrastruttura, abbiamo identificato dei log che indicano l'utilizzo dello strumento sqlmap per trovare potenziali errori SQL, insieme a veri e propri dump dei database". Al momento, nessuna delle informazioni rubate dai server della banca colombiana è stata trovata su siti dark web o clearweb monitorati da Qualys. BitRAT è un malware altamente versatile che può essere utilizzato per una varietà di scopi malevoli, tra cui la registrazione di video e audio, il furto di dati, gli attacchi DDoS, il cryptomining e la consegna di payload aggiuntivi. Il malware viene consegnato ai computer delle vittime tramite un file Excel dannoso che rilascia ed esegue un file INF codificato all'interno di una macro altamente offuscata, inclusa nell'allegato. Il payload finale di BitRAT viene quindi scaricato da un repository GitHub utilizzando la libreria WinHTTP sul dispositivo compromesso ed eseguito con l'aiuto della funzione WinExec. Durante l'ultima fase dell'attacco, il malware RAT sposta il suo loader nella cartella di avvio di Windows per ottenere la persistenza e riavviarsi automaticamente dopo il riavvio del sistema. Almeno dall'agosto 2020, BitRAT viene venduto come malware off-the-shelf nei mercati del dark web e sui forum di criminalità informatica a partire da 20 dollari. Dopo aver pagato una licenza, ogni "cliente" utilizza il proprio approccio – sia esso phishing, watering hole o software troianizzato – per infettare le vittime con questo genere di malware. “I RAT ‘commerciali’ si sono evoluti nella metodologia di diffusione e infezione", ha dichiarato Akshat Pradhan, Senior Engineer Threat Research di Qualys. "Un aspetto di cui i difensori devono tenere conto è che i RAT hanno anche incrementato l'uso di infrastrutture legittime per ospitare i loro payload".

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.