La nuova minaccia con HiddenGh0st, Winos e kkRAT. Una campagna sofisticata prende di mira utenti di lingua cinese con falsi siti software e RAT capaci di rubare dati e criptovalute
SEO avvelenata: quando la ricerca diventa trappola
Gli attaccanti hanno sfruttato plugin SEO e domini sosia per spingere in alto nei risultati di Google siti falsi che imitavano software popolari come Google Chrome, Telegram, Signal, WhatsApp, WPS Office e DeepL Translate.
Queste pagine ingannevoli, curate nei dettagli con piccole sostituzioni di caratteri e testi convincenti, inducevano gli utenti a scaricare programmi di installazione trojanizzati, contenenti HiddenGh0st e Winos (ValleyRAT).
HiddenGh0st e Winos: vecchi RAT con nuove armi
HiddenGh0st e Winos sono varianti del noto Gh0st RAT, un trojan ad accesso remoto capace di:
- stabilire connessioni C2 cifrate,
- raccogliere informazioni di sistema,
- registrare tasti e appunti,
- dirottare portafogli Ethereum e Tether.
I file di installazione contenevano sia l’applicazione legittima sia il malware, rendendo difficile accorgersi dell’infezione.
kkRAT: il nuovo arrivato
Parallelamente, i ricercatori di Zscaler ThreatLabz hanno identificato kkRAT, un trojan mai visto prima ma imparentato con Gh0st RAT e il malware cinese Big Bad Wolf.
Le sue caratteristiche includono:
- dirottamento degli appunti per intercettare e sostituire indirizzi crypto,
- uso della tecnica BYOVD (Bring Your Own Vulnerable Driver) per neutralizzare antivirus,
- installazione di strumenti di accesso remoto come Sunlogin e GotoHTTP.
GitHub Pages come arma
Un elemento innovativo è l’uso di GitHub Pages come piattaforma di distribuzione dei file dannosi. Questo ha permesso agli attaccanti di sfruttare la fiducia verso un servizio legittimo per camuffare le proprie attività.
Tecniche avanzate di elusione
I malware eseguono controlli anti-analisi, tentano di identificare ambienti virtualizzati e disattivano suite di sicurezza come 360 Total Security o Kingsoft Internet Security.
Con l’uso di DLL malevole, scorciatoie Windows e modifiche al registro, ottengono persistenza e controllo completo della macchina compromessa.
Obiettivo finale: dati e criptovalute
Oltre alla sorveglianza continua del sistema e al furto di informazioni sensibili, l’obiettivo primario di questi RAT è sottrarre criptovalute e trasformare le vittime in nodi controllati da remoto.
Iscriviti alla newsletter. Resta aggiornato!
Te la invieremo periodicamente per comunicazioni importanti e news sul mondo digitale. Potrai disiscriverti in ogni momento cliccando l’apposito link in calce alla newsletter.
