La funzione di BellaCiao è quella di operare come backdoor e dropper e può essere utilizzato per distribuire qualsiasi tipo di malware a scopo di spionaggio, furto di dati, ransomware ed estorsione.
Autore: Redazione BitCity
Pubblicato il: 02/05/2023
Bitdefender ha rilasciato una ricerca che illustra una nuova (e ancora in corso) campagna di malware, denominata BellaCiao, che sta prendendo di mira aziende negli Stati Uniti, in Europa, Israele, Turchia e India.
BellaCiao è gestita da Charming Kitten (alias Mint Sandstorm, APT35/42), noto gruppo di criminali informatici sostenuto dal governo iraniano. Il nuovo malware è altamente sofisticato e adattato a ogni tipologia di obiettivo; utilizza un approccio di comunicazione specifico che utilizza la sua infrastruttura di comando e controllo (C2).
La funzione di BellaCiao è quella di operare come backdoor e dropper e può essere utilizzato per distribuire qualsiasi tipo di malware a scopo di spionaggio, furto di dati, ransomware ed estorsione. Una volta infettato il sistema, BellaCiao si nasconde come se fosse un processo legittimo che non viene rilevato e attende ulteriori istruzioni dai criminali informatici.
La ricerca sottolinea come l’elemento di novità che contraddistingue BellaCiao sia il modo in cui riceve le istruzioni dal server C2 degli hacker. BellaCiao chiede al computer infetto di eseguire una richiesta DNS per suo conto ogni 24 ore per la risoluzione di un sottodominio tramite una stringa hardcoded unica per ogni vittima.
Bitdefender ritiene che questa campagna sia la fase successiva agli attacchi opportunistici. Charming Kitten cerca indiscriminatamente sistemi vulnerabili (utilizzando exploit di vulnerabilità), quindi sviluppa un malware personalizzato (BellaCiao) per l'azienda compromessa e lo distribuisce da remoto.