Il protagonista di questa notizia è un gruppo di hacker che ha creato un nuovo malware, non noto dalle definizioni dei principali antivirus e antimalware: questo gruppo si chiama Cranefly.
Questo gruppo di hacker scoperto di recente, noto per prendere di mira i dipendenti che si occupano di transazioni aziendali, pare sia collegato a una nuova backdoor chiamata Danfuan.
Questo malware, non ancora documentato, viene distribuito tramite un altro software chiamato Geppei, hanno affermato i ricercatori di Symantec, da Broadcom Software, in un loro rapporto.
Quali “oscuri segreti” nasconde questo gruppo di nome Cranefly?
Il programma “viene utilizzato per installare una nuova backdoor e altri strumenti utilizzando la nuova tecnica di lettura dei comandi da registri di Internet Information Services (IIS) apparentemente innocui“, hanno affermato i ricercatori.
Il set di strumenti è stato attribuito dalla società di sicurezza informatica a un sospetto hacker spia chiamato UNC3524, appartenente al gruppo Cranefly, che è venuto alla luce per la prima volta a maggio 2022 per la sua “opera” di raccolta di e-mail in blocco da vittime che si occupano di fusioni e acquisizioni e altre transazioni finanziarie (molto frequente in tempi recenti).
Uno dei principali ceppi di malware usati da questo gruppo è QUIETEXIT, una backdoor implementata su dispositivi di rete che non supportano il rilevamento antivirus o degli endpoint, come alcuni ripetitori Wi-Fi, e alcuni access point wireless, consentendo all’intruso di rimanere nascosto per lunghi periodi di tempo.
Geppei e a Danfuan si aggiungono alle armi informatiche personalizzate del gruppo Cranefly, con il primo che agisce da dropper leggendo i comandi dai registri IIS, ma entrambi, va detto, si mascherano come richieste di accesso al Web innocue (per questo difficili da rilevare anche per antivirus standard) inviate a un server già compromesso.
“I comandi letti da Geppei contengono file [di estensione] .ashx codificati dannosi“, fanno notare i ricercatori. “Questi file vengono salvati in una cartella arbitraria determinata dal parametro del comando e vengono eseguiti come backdoor.”
Ciò include una web shell chiamata reGeorg, che è stata utilizzata da altri autori come APT28, DeftTorero e Worok, e un malware mai visto prima chiamato Danfuan, progettato per eseguire codice C# che poi sarà compilato
Symantec ha affermato di non aver capito ancora al 100% come i principali fautori (il gruppo Cranefly) dell’attacco siano riusciti filtrare i dati dalle macchine delle vittime nonostante un lungo periodo di permanenza di 18 mesi su reti compromesse.
“L’uso di una nuova tecnica e strumenti personalizzati, così come le misure adottate per nascondere le tracce di questa attività sulle macchine delle vittime, indicano che Cranefly è un gruppo hacker piuttosto abile“, hanno concluso i ricercatori.
Come difendersi, quindi, da un attacco che non ha (ancora) le definizioni presso i vari antivirus?
Qui, purtroppo, non si parla di un attacco dovuto al fatto che “si è stati poco attenti” perché accidentalmente un impiegato poco capace ha cliccato un link sbagliato o perché sono stati dati dati personali accidentalmente in giro: la cosa è un tantino più seria.
Fino a quando questo malware non sarà “scansionato” da chi di dovere, difficilmente un antivirus o antimalware avrà definizioni per riconoscerlo: occorrerà, quindi, aspettare un pochino e lasciar lavorare gli esperti di sicurezza informatica.
Tuttavia è possibile rivelare possibili intrusioni tramite dei programmini apposta; peccato siano incredibilmente costosi poiché sono per aziende, non per privati.
Malwarebytes, tuttavia, ha uno di questi programmi in versione trial (ma ce ne sono altri gratuiti, volendo) che puoi installare se pensi che ci sia un’intrusione.
È buona norma, tra l’altro, controllare se il router con il quale sei collegato alla linea internet non abbia dispositivi sconosciuti attivi tramite Wi-Fi, in quel caso utilizza i servizi del tuo operatore per rimuoverli e cambia password Wi-Fi.
