Dati bancari rubati: Qualys lancia allarme su campagna malware BitRAT

di Redazione TecnoGazzetta

Secondo l’azienda di cloudsecurity Qualys, gli attori che si celano dietro a una recente campagna malware hanno usato le informazioni rubate a clienti di banche colombiane come esche in e-mail di phishing progettate  per infettare gli utenti con il noto trojan di accesso remoto BitRAT.

Qualys, Inc. ha scoperto, nel corso di indagini su attacchi di phishing, che l’infrastruttura di una banca cooperativa colombiana è stata oggetto di dirottamenti di traffico verso siti malevoli per l’esfiltrazione di dati.

Dai server violati sono stati rubati in totale 418.777 record contenenti dati sensibili dei clienti, tra cui nomi, numeri di telefono, indirizzi e-mail, indirizzi, ID nazionali colombiani, record di pagamento e informazioni sugli stipendi.

Durante le indagini sulla campagna, Qualys ha anche trovato le prove che gli aggressori hanno avuto accesso ai dati dei clienti, compresi i log che mostrano come siano stati cercati bug su DB SQL, tramite injection utilizzando strumenti pubblici e opensource.

“Le esche stesse, inoltre, contengono dati sensibili della banca così da apparire legittime all’ignaro utente. Ciò significa che l’attaccante ha avuto accesso ai dati dei clienti”, dichiara Qualys. “Scavando più a fondo nell’infrastruttura, abbiamo identificato dei log che indicano l’utilizzo dello strumento sqlmap per trovare potenziali errori SQL, insieme a veri e propri dump dei database”.

Login with smartphone to online bank account or personal information on internet. Registration to social media app. Hands typing and entering username and password to an imaginary mobile application.

Al momento, nessuna delle informazioni rubate dai server della banca colombiana è stata trovata su siti dark web o clearweb monitorati da Qualys.

Cos’è un BitRAT

BitRAT è un malware altamente versatile che può essere utilizzato per una varietà di scopi malevoli, tra cui la registrazione di video e audio, il furto di dati, gli attacchi DDoS, il cryptomining e la consegna di payload aggiuntivi.

Come viene propagato

Il malware viene consegnato ai computer delle vittime tramite un file Excel dannoso che rilascia ed esegue un file INF codificato all’interno di una macro altamente offuscata, inclusa nell’allegato.

Il payload finale di BitRAT viene quindi scaricato da un repository GitHub utilizzando la libreria WinHTTP sul dispositivo compromesso ed eseguito con l’aiuto della funzione WinExec.

Durante l’ultima fase dell’attacco, il malware RAT sposta il suo loader nella cartella di avvio di Windows per ottenere la persistenza e riavviarsi automaticamente dopo il riavvio del sistema.

Almeno dall’agosto 2020, BitRAT viene venduto come malware off-the-shelf nei mercati del dark web e sui forum di criminalità informatica a partire da 20 dollari. Dopo aver pagato una licenza, ogni “cliente” utilizza il proprio approccio – sia esso phishing, watering hole o software troianizzato – per infettare le vittime con questo genere di malware.

“I RAT ‘commerciali’ si sono evoluti nella metodologia di diffusione e infezione”, ha dichiarato Akshat Pradhan, Senior Engineer Threat Research di Qualys. “Un aspetto di cui i difensori devono tenere conto è che i RAT hanno anche incrementato l’uso di infrastrutture legittime per ospitare i loro payload”.

 

Vuoi ricevere gli aggiornamenti delle news di TecnoGazzetta? Inserisci nome ed indirizzo E-Mail:


Acconsento al trattamento dei dati personali (Info Privacy)