AsyncRAT, malspam che usa la steganografia
Una nuova minaccia online sta interessando anche il nostro Paese: si tratta del malware AsyncRAT. Questa recente campagna malspam sta mietendo numerose vittime grazie a un meccanismo semplice, ma efficace.
Il malware, infatti, viene diffuso grazie alla steganografia. Il virus, in sostanza, viene nascosto dentro alcuni file che, all’apparenza, potrebbero sembrare innocui. In realtà, però, i file nascondono delle insidie e dei pericoli. Ci sono diversi modi per difendersi dalla minaccia.
In questa guida analizzeremo il malspam AsyncRAT nei dettagli per poterci difendere al meglio dagli attacchi di malware di questo tipo.
La campagna malware AsyncRAT
La campagna malspam AsyncRAT sta minacciando anche l’Italia. Lo ha confermato CERT-AgID, il ramo dell’Agenzia per l’Italia Digitale che si occupa di sicurezza informatica.
L’Agenzia ha segnalato che il nostro Paese è stato recentemente coinvolto in una campagna malware AsyncRAT. La campagna mira a diffondere questo particolare tipo di malware anche nella nostra penisola.
Purtroppo, l’uso della già citata steganografia non permette, a prima vista, di individuare il malware. È proprio questa particolarità a rendere tanto pericoloso il virus: il codice malevolo è bene nascosto e il rischio di diventare vittime è veramente alto.
Come funziona la nuova campagna malspam
Il Cert-AgID ha individuato il meccanismo di diffusione dell’AsyncRAT. Secondo quanto riportato dall’Agenzia, il funzionamento è abbastanza semplice.
La potenziale vittima riceve innanzitutto un’email, di solito in inglese, contenente una potenziale proposta commerciale. Di solito, l’email in questione proviene da una specifica azienda fittizia, la Arabian Construction Co.
Il messaggio contiene una richiesta di preventivo: l’azienda scrive di essere alla ricerca di fornitori in Italia. L’email non contiene allegati, ma un link che indirizzerà la vittima al download di un archivio formato .tar.
Purtroppo, il link indirizza a una piattaforma legittima spesso usata per la gestione dei contenuti in cloud. Questo dettaglio potrebbe indurre le vittime in inganno.
Cos’è la steganografia
La diffusione del malware AsyncRAT si basa, come anticipato, sulla steganografia.
Con questo termine, ben noto in informatica e cybersecurity, si indica la pratica di nascondere, all’interno di un messaggio o un file, determinate informazioni. In questo modo, vengono occultati dati e contenuti digitali di varia natura.
Una volta scaricati, però, vengono poi estratti a destinazione, andando a infettare i dispositivi delle vittime.
Spesso la steganografia viene confusa con la crittografia, ma si tratta di due concetti molto diversi.
La crittografia, infatti, prevede la codifica di dati attraverso una chiave. La steganografia, invece, non prevede alcuna codifica.
Anche se, per lungo tempo, questa pratica è stata utilizzata per inviare comunicazioni private, ad oggi è utilizzata soprattutto dai cybercriminali. Con questa pratica, infatti, si possono diffondere agevolmente ransomware e malware come l’AsyncRAT.
Il Remote Access Trojan occultato in JavaScript
Il Remote Access Trojan dell’AsyncRAT viene occultato mediante un file JavaScript.
È questo JavaScript offuscato che funge da vettore iniziale. Al momento dell’esecuzione, avvia uno script PowerShell che innesca una seconda fase dell’attacco. Viene infatti prelevato un file da un servizio di storage associato a un account email Aruba. In questo secondo passaggio si fa uso della già citata steganografia.
Dall’analisi dello script PowerShell emerge che il file “rlb6iho2_400.gif”, salvato nella variabile $picle, contiene al suo interno dati nascosti codificati in Base64.
Questi dati sono delimitati da marcatori testuali specifici, identificati come sudo_png e sudo_odt. Una volta decifrato il contenuto tra questi tag, è stato possibile individuare una DLL dannosa che lo script si appresta a eseguire, passando anche una serie di parametri.
Tra questi c’è una URL conservata nella variabile $gangbusters, scritta al contrario per eludere i controlli statici, e utilizzata per scaricare il payload conclusivo.
La DLL stessa incorpora una funzione per rilevare ambienti virtualizzati (anti-VM), e dopo il controllo procede con il recupero e l’avvio di AsyncRAT.
Trattandosi di un Remote Access Trojan, il malware consente il controllo remoto del sistema infetto. I cybercriminali avranno in questo modo anche accesso a dati sensibili dell’utente.
Caratteristiche dei malware RAT
Secondo quanto riportato da Cert-AgID, la stessa GIF utilizzata per veicolare AsyncRAT è stata già utilizzata. Ha infatti permesso di veicolare malware come Remcos, Formbook, Avemaria e MassLogger.
Attualmente, è utilizzata per la campagna malspam AsyncRAT, un virus di tipo RAT.
Come abbiamo già visto, si tratta dell’acronimo di Remote Access Trojan, un malware dalle enormi potenzialità. Questa tipologia di virus viene utilizzato dai cybercriminali per diversi scopi.
Quello principale è legato al pieno controllo del dispositivo infetto. Gli hacker, tramite i RAT, hanno accesso a computer, componenti hardware e file del dispositivo. L’accesso non è limitato alla consultazione, in quanto i cybercriminali possono estrarre, ma anche modificare e distruggere, i file del dispositivo infetto.
Oltre a colpire dispositivi come i pc, i RAT possono infettare, in alcuni casi, anche i dispositivi mobili.
Come difendersi da AsyncRAT
In base a quanto detto fino ad ora, è facile capire che la campagna malspam AsyncRAT è pericolosa e può avere gravi conseguenze.
Il Cert-AgID ha rassicurato gli utenti, dato che ha comunicato che, anche grazie alla collaborazione con Aruba, il pericolo è già stato arginato. Tuttavia, non è detto che la minaccia rappresentata da AsyncRAT sia del tutto sparita.
L’Agenzia ha invitato gli utenti alla prudenza, soprattutto quando si ricevono comunicazioni contenenti non solo allegati, ma anche link e collegamenti.
Il consiglio di Cert-AgID, quando si hanno dubbi anche minimi, è quello di inoltrare email e comunicazioni all’indirizzo ufficiale dell’agenzia. Inviare le email sospette all’indirizzo di posta malware@cert-agid.gov si potrà infatti richiedere un controllo.
Ricordiamo che la difesa è la miglior arma di protezione contro AsyncRAT e gli altri malware di tipo RAT. Infatti, una volta insidiatosi nel dispositivo della vittima, questo tipo di malware è difficilmente rilevabile e identificabile. Inoltre, se non identificato tempestivamente, un malware del genere espone le vittime a rischi elevatissimi, quali la diffusione di credenziali e dati privati, il furto di identità digitale e la perdita completa di accesso ai propri fondi.