Nuove minacce in vista sul fronte spyware: gli esperti dei G DATA Security Labs hanno scoperto e analizzato una nuova variante dell’altamente complesso programma spyware Agent.BTZ, usato per un cyber attacco negli Stati Uniti nel 2008. ComRAT, la nuova variante, attacca network ad alto potenziale con l’obiettivo di rubare dati sensibili e sembra avere delle caratteristiche in comune anche con un altro spyware: Uroburos, su cui i G DATA Security Labs hanno lanciato per la prima volta l’allarme a febbraio di quest’anno, dopo che questo malware aveva, tra gli altri, attaccato il Ministero degli Esteri belga. Attraverso l’hijacking di una interfaccia sviluppatore (“COM hijacking”) il malware può inserirsi su un PC e avviare funzioni maligne senza che l’utente se ne accorga, rubando dati altamente sensibili attraverso il traffico dati del browser. In questo modo i criminali possono usare il tool di amministrazione remota di ComRAT per spiare un sistema infettato per lungo tempo prima di essere scoperti.
“ComRAT è l’utima generazione dei noti programmi spyware Uroburos e Agent.BTZ. Come i suoi predecessori ComRAT è sviluppato per operare e condurre attacchi contro network di grandi dimensioni che appartengono a aziende, autorità, organizzazioni e istituti di ricerca – spiega Ralf Benzmüller, Head of G DATA SecurityLabs -. Riteniamo che dietro questo nuovo malware ci sia lo stesso gruppo di persone dal momento che ci sono molte similitudini con i suoi predecessori. Questo nuovo software, inoltre, è addirittura più complesso e sofisticato. Questo è indice di uno sviluppo che ha richiesto un sensibile investimento economico”.
Ma perché il nome ComRAT? I G DATA SecurityLabs hanno battezzato questo spyware in questo modo in virtù delle sue proprietà tecniche. Il nome risulta composto dai termini interfaccia COM (Component Object Model) e RAT (Remote Administration Tool). Gli oggetti COM sono spesso utilizzati per hackerare un computer. Questa funzionalità offre ai programmatori di malware un nascondiglio dove possono operare senza che gli utenti o la protezione antivirus se ne accorgano, il tutto al fine di compromettere il browser. I dati rubati dal network sembrano così dati completamente normali di navigazione tramite browser. Il RAT è un tool di amministrazione remota generalmente utilizzato per accedere ad altri computer da location remote. Gli hacker possono così controllare il malware dall’esterno.
Al momento sono state scoperte due differenti varianti del malware. Per informazioni più dettagliate clicca qui.
