ComRAT usa Gmail per ricevere comandi ed esfiltrare i dati
Redazione SecurityOpenLab Un malware creato per trovare, rubare ed esfiltrare documenti riservati. Fa il lavoro sporco usando l'interfaccia web di Gmail.
Si chiama ComRAT il malware che sfrutta l'interfaccia web di Gmail per ricevere segretamente i comandi ed esfiltrare dati sensibili. A scoprirlo sono stati i ricercatori di ESET, che hanno ricondotto la nuova variante al gruppo cyber criminale Turla APT.
ComRAT non è una new entry sulla scena criminale. Ha esordito nel 2017 ed è stato usato per colpire più che altro obiettivi politici. La versione appena rilevata è la v4, o "Chinch" come chiamata dagli autori di malware. Non è un'evoluzione dei predecessori in senso stretto, perché utilizza una base di codice completamente nuova. Inoltre, ComRAT v4 è molto più complesso rispetto alle sue varianti precedenti. In genere si installa tramite PowerStallion, una backdoor di PowerShell di cui si serve abitualmente Turla per installare altre backdoor.
Inoltre, il loader di PowerShell inserisce nel browser web un modulo chiamato ComRAT orchestrator, che impiega due canali diversi, uno legacy e uno via posta elettronica, per ricevere comandi da un server di comando e controllo ed esfiltrare le informazioni.
Da qui si deduce che la funzione principale di ComRAT sia trovare, rubare ed esfiltrare documenti riservati. In un caso noto, i cyber criminali hanno anche distribuito un eseguibile .NET per interagire con il database SQL Server della vittima contenente i documenti dell'organizzazione. Inoltre, tutti i file relativi a ComRAT, ad eccezione della DLL di orchestrator e dell'attività pianificata per la persistenza, vengono archiviati in un file system virtuale (VFS).
La modalità "mail" funziona leggendo l'indirizzo email e i cookie di autenticazione che si trovano nel VFS, connettendosi alla visualizzazione HTML di base di Gmail e analizzando la pagina HTML della posta in arrivo. È così che gli aggressori ottengono l'elenco delle email, e degli oggetti inseriti in un file "subject.str" nel VFS.
Per ogni email che soddisfa i criteri, comRAT scarica gli allegati e cancella le email. Il file scaricato non è il documento stesso, quanto un file crittografato che include i comandi per allegarlo come messaggio di posta elettronica a un indirizzo di destinazione specificato nel file VFS "answer_addr.str".
ComRAT non è una new entry sulla scena criminale. Ha esordito nel 2017 ed è stato usato per colpire più che altro obiettivi politici. La versione appena rilevata è la v4, o "Chinch" come chiamata dagli autori di malware. Non è un'evoluzione dei predecessori in senso stretto, perché utilizza una base di codice completamente nuova. Inoltre, ComRAT v4 è molto più complesso rispetto alle sue varianti precedenti. In genere si installa tramite PowerStallion, una backdoor di PowerShell di cui si serve abitualmente Turla per installare altre backdoor.
Inoltre, il loader di PowerShell inserisce nel browser web un modulo chiamato ComRAT orchestrator, che impiega due canali diversi, uno legacy e uno via posta elettronica, per ricevere comandi da un server di comando e controllo ed esfiltrare le informazioni.
Da qui si deduce che la funzione principale di ComRAT sia trovare, rubare ed esfiltrare documenti riservati. In un caso noto, i cyber criminali hanno anche distribuito un eseguibile .NET per interagire con il database SQL Server della vittima contenente i documenti dell'organizzazione. Inoltre, tutti i file relativi a ComRAT, ad eccezione della DLL di orchestrator e dell'attività pianificata per la persistenza, vengono archiviati in un file system virtuale (VFS).La modalità "mail" funziona leggendo l'indirizzo email e i cookie di autenticazione che si trovano nel VFS, connettendosi alla visualizzazione HTML di base di Gmail e analizzando la pagina HTML della posta in arrivo. È così che gli aggressori ottengono l'elenco delle email, e degli oggetti inseriti in un file "subject.str" nel VFS.
Per ogni email che soddisfa i criteri, comRAT scarica gli allegati e cancella le email. Il file scaricato non è il documento stesso, quanto un file crittografato che include i comandi per allegarlo come messaggio di posta elettronica a un indirizzo di destinazione specificato nel file VFS "answer_addr.str".
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Ultime notizie Tutto
SentinelOne, sovranità cloud, AI e dati al centro della security next gen
04-12-2025
Cosa significa fare oggi MSSP in Italia: l'esperienza Itway
04-12-2025
Malware AI, tra realtà operativa e rischi futuri
02-12-2025
Cybersecurity OT: i 6 passi essenziali per prepararsi agli incidenti negli impianti industriali
02-12-2025
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
