7 Luglio 2021

Il malware multipiattaforma di WildPressure colpisce macOS in Medio Oriente

3 minuti di lettura

Milano, 7 luglio 2021
 

Kaspersky sta seguendo i movimenti di Milum, un Trojan dannoso utilizzato da WildPressure, un gruppo APT (Advanced Persistent Threat) attivo in Medio Oriente
dall’agosto del 2019.
Durante le indagini su uno dei suoi ultimi attacchi al settore industriale, i ricercatori di Kaspersky hanno scoperto delle versioni più recenti del malware scritte in diversi linguaggi di programmazione. Una delle versioni è in grado di infettare ed essere eseguita sia su sistemi Windows che macOS.
 

Quando si parla di indagini sulle minacce informatiche accade spesso che molte scoperte nascano da un piccolo dettaglio e questa operazione non fa eccezione. Spesso, quando un Trojan infetta un dispositivo, il malware invia un beacon ai server degli attaccanti contenente informazioni sul dispositivo, impostazioni di rete, nome utente e altri dati rilevanti. Questo aiuta gli attaccanti a determinare quanto il dispositivo infetto possa essere interessante per loro. Tuttavia, nel caso di Milum, il malware ha anche inviato informazioni sul linguaggio di programmazione con cui è stato scritto. Nel 2020, durante la prima indagine svolta su questo malware, i ricercatori di Kaspersky sospettavano che ciò indicasse l’esistenza di diverse versioni di questo Trojan in diverse lingue. Ora questa teoria è stata confermata.  

Nella primavera del 2021, Kaspersky ha identificato un nuovo attacco di WildPressure, che è stato effettuato con una serie di versioni più recenti del malware Milum. I file scoperti contenevano il Trojan Milum scritto in C++ e una corrispondente variante in Visual Basic Script (VBScript). Ulteriori indagini su questo attacco hanno portato alla luce un’altra versione del malware scritta in Python e sviluppata per i sistemi operativi Windows e macOS. Tutte e tre le versioni del Trojan sono state in grado di scaricare ed eseguire comandi dall’operatore, raccogliere informazioni e aggiornarsi a una versione più recente.  

È raro osservare un malware multipiattaforma in grado di infettare dispositivi con sistema macOS. Questo particolare esemplare comprende un pacchetto che include il malware, la libreria Python e uno script chiamato “Guard”. Tutto ciò consente al malware di avviarsi sia su Windows che su macOS senza problemi. Una volta infettato il dispositivo, il malware esegue il codice in base al sistema operativo per la persistenza e la raccolta dei dati. Su Windows, lo script è raggruppato in un file eseguibile con PyInstaller. Il Trojan Python è anche in grado di verificare se il dispositivo è dotato di soluzioni di sicurezza. 

“Gli operatori di WildPressure hanno continuato ad avere interesse per la stessa area geografica. Gli autori del malware hanno sviluppato più versioni di Trojan simili e dispongono di un sistema di versioning. Il motivo alla base della creazione di malware simili in diverse lingue è molto probabilmente quello di ridurre la probabilità di rilevamento. Questa strategia non è inusuale tra gli attori APT, ma raramente vediamo un malware progettato per essere eseguito su due sistemi diversi contemporaneamente, anche sotto forma di script Python. Un’altra caratteristica interessante è che uno dei sistemi operativi presi di mira è macOS, un obiettivo inaspettato se consideriamo l’interesse geografico del soggetto”, ha commentato Denis Legezo, senior security researcher del team GReAT.
 

Maggiori informazioni sui nuovi campioni di WildPressure sono disponibili su Securelist.
 

A questo link è disponibile un seminario sulla decodifica dei sample WildPressure in un video realizzato da Denis Legezo.  

Per evitare di diventare vittima di attacchi mirati, gli esperti di Kaspersky consigliano di:
 

• È sbagliato pensare che un sistema operativo meno comune sia esente da minacce; perché non è così. L’utilizzo di una soluzione di sicurezza affidabile è un must, indipendentemente dal sistema operativo e dai dispositivi utilizzati. 

• Assicurarsi di aggiornare regolarmente tutti i software aziendali, in particolare ogni volta che viene rilasciata una nuova patch di sicurezza. I prodotti di sicurezza con funzionalità di valutazione delle vulnerabilità e gestione delle patch possono aiutare ad automatizzare questi processi. 

• Scegliere una soluzione di sicurezza affidabile, come Kaspersky Endpoint Security, dotata di funzionalità di rilevamento basate sul comportamento delle minacce per una protezione efficace contro minacce note e sconosciute, inclusi gli exploit. 

• Oltre ad attivare la protezione essenziale degli endpoint, implementare una soluzione di sicurezza di livello aziendale che rilevi le minacce avanzate a livello di rete nella loro fase iniziale, come Kaspersky Anti Targeted Attack Platform.
 

• Assicurarsi che tutti i dipendenti abbiano una formazione di base sulla sicurezza informatica, poiché molti attacchi mirati iniziano con phishing o altre tecniche di ingegneria sociale. 

• Assicurarsi che il team addetto alla sicurezza sia informato sulle più recenti minacce informatiche. Per gli utenti di Kaspersky APT Intelligence Reporting sono disponibili report esclusivi sugli ultimi sviluppi nel panorama delle minacce informatiche.  

• Migliorare le competenze del team SOC (Security Operations Center) per affrontare le più recenti minacce mirate con la formazione online di Kaspersky reverse engineering online training sviluppata da esperti del team GReAT. 

Informazioni su Kaspersky
 

Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/
 

Seguici su:
 


 

http://www.facebook.com/kasperskylabitalia
 

https://www.linkedin.com/company/kaspersky-lab-italia
 

https://www.instagram.com/kasperskylabitalia/
 

https://t.me/KasperskyItalia
 

Contatto di redazione:
 

kaspersky@noesis.net
 

Da non perdere!

P