Domenico Ascione
Un nuovo attacco hacker proveniente dalla Cine ha copiato completamente i siti principali delle più grandi aziende del mondo
Ormai il mondo intero vive con la costante paura di attacchi virtuali in grado di rubare dati, svuotare conti in banca e mettere in difficoltà le grandi multinazionali. Spesso si tratta di gruppi di hacker ben organizzati provenienti dalle più disparate zone del pianeta.
Negli ultimi giorni alcuni pirati virtuali cinesi hanno fatto tremare imprese del calibro di Google, Meta ed Apple.
L’attacco
Gli individui di lingua cinese nel sud-est e nell’est asiatico sono stati i bersagli di una nuova campagna di annunci Google che forniva trojan di accesso remoto come FatalRAT alle macchine compromesse.
Gli attacchi comportavano l’acquisto di spazi pubblicitari per apparire nei risultati di ricerca di Google e indirizzare gli utenti alla ricerca di applicazioni popolari verso siti web rogue che ospitano installatori di virus, ha dichiarato ESET, azienda impegnata nella sicurezza del web, in un rapporto. Gli annunci sono stati in poco tempo rimossi.
Alcune delle applicazioni falsificate includono Google Chrome, Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao e WPS Office.
“I siti web e i programmi di installazione scaricati sono per lo più in cinese e in alcuni casi offrono falsamente versioni in lingua cinese di software che non sono disponibili in Cina”, ha dichiarato l’azienda slovacca di sicurezza informatica, aggiungendo di aver osservato gli attacchi tra agosto 2022 e gennaio 2023.
La maggior parte delle vittime si trova a Taiwan, Cina e Hong Kong, seguite da Malesia, Giappone, Filippine, Thailandia, Singapore, Indonesia e Myanmar. Gli obiettivi finali degli aggressori non sono ancora chiari.
Copie perfette
L’aspetto più importante degli attacchi è la creazione di siti web simili, con domini tipicamente “typosquatted”, per diffondere il programma di installazione dannoso che, nel tentativo di mantenere l’inganno, installa il software legittimo, ma rilascia anche un loader che distribuisce FatalRAT.
In questo modo, l’aggressore ottiene il controllo completo del computer vittima, compresa l’esecuzione di comandi shell arbitrari, l’esecuzione di file, la raccolta di dati dai browser web e la cattura di sequenze di tasti.
Gli aggressori hanno fatto un certo sforzo per quanto riguarda i nomi di dominio utilizzati per i loro siti web, cercando di essere il più possibile simili ai nomi ufficiali. I siti web falsi sono, nella maggior parte dei casi, copie identiche dei siti legittimi Hanno dichiarato gli esperti
Cos’è FatalRAT?
Le scoperte arrivano meno di un anno dopo che Trend Micro ha rivelato una campagna Purple Fox che sfruttava pacchetti software contaminati che imitavano Adobe, Google Chrome, Telegram e WhatsApp come vettore di arrivo per propagare FatalRAT.
Non abbiamo potuto confermare se queste due indagini siano collegate. Mentre ci sono alcune somiglianze (uso di FatalRAT, uso di installatori falsi), non abbiamo trovato somiglianze nella catena di componenti usati per distribuire il RAT o nell’infrastruttura usata dagli aggressori Ha dichiarato a The Hacker News Matías Porolli, ricercatore di malware presso ESET
I risultati di questi attacchi si inseriscono nel contesto di un più ampio abuso di Google Ads per servire un’ampia gamma di malware o, in alternativa, portare gli utenti a pagine di phishing di credenziali.
In uno sviluppo correlato, Symantec, parte di Broadcom Software, ha fatto luce su una campagna di malware “molto piccola” e “mirata” che sfrutta un impianto basato su .NET precedentemente non documentato e denominato Frebniis. Si stima che gli attacchi siano “meno di una manciata” e “molto focalizzati su Taiwan”.
La società di cybersicurezza, che ha attribuito le intrusioni a un attore non identificato, ha dichiarato che al momento non è noto come sia stato ottenuto l’accesso al computer Windows che esegue il server Internet Information Services (IIS).