Il CERT-AGID ha segnalato un aumento delle campagne contro l’Italia per diffondere il malware Adwind/jRAT.
Negli ultimi tempi, il CERT-AGID ha rilevato una preoccupante attività di campagne mirate contro l’Italia, finalizzate alla diffusione del malware conosciuto come Adwind/jRAT. Questo malware sofisticato compromette la sicurezza informatica, passando spesso inosservato attraverso tecniche di offuscamento avanzate.
Le Tattiche Utilizzate dagli Attaccanti
Solitamente, le email infette ricevute dalle vittime contengono un archivio ZIP con file HTML etichettati come FATTURA.html o DOCUMENTO.html. In alcuni casi, le estensioni dei file vengono camuffate utilizzando doppie estensioni come .pdf.html, ingannando così l’utente.
All’interno dei file HTML è presente un codice JavaScript che determina la lingua del browser dell’utente. Se la lingua è impostata su italiano, viene mostrata una pagina falsamente rassicurante che invita a cliccare su ‘OK’ per visualizzare correttamente il documento, fingendo un problema con Adobe Acrobat Reader. Questo clic porta al rilascio di un file chiamato FATTURA.jar, spesso codificato in base64.
Analisi del File FATTURA.jar
All’apertura del file FATTURA.jar, che utilizza algoritmi di criptazione come Blowfish e DES, viene eseguita un’ulteriore verifica della lingua del sistema, rendendo più difficile la rilevazione nelle sandbox online configurate per default in inglese. Una volta soddisfatte le condizioni, il file procede a decifrare stringhe entro il sistema infetto, scaricando ulteriori file malevoli da risorse remote.
Strategie per Elicitazione dei Dati
L’obiettivo finale di questo malware è quello di raccogliere dati sensibili e di assumere il controllo della macchina colpita. Strumenti come Bytecode Viewer e JDoodle facilitano l’analisi del file, esponendo il malware e presentando la vera natura degli attacchi Adwind/jRAT.
Indicatori di Compromissione
Gli Indicatori di Compromissione (IoC) sono cruciali per riconoscere rapidamente le minacce e impedirne la diffusione. Di seguito, alcuni degli IoC identificati:
- Archivi ZIP con file HTML sospetti
- File con estensioni ambigue come .pdf.html
- Codifiche Base64 che cercano di scaricare ulteriori JAR da risorse remote
- Algoritmi di criptazione come Blowfish e DES
- Verifiche preliminari che puntano alla lingua di configurazione italiana
L’analisi forense continua ad essere fondamentale per comprendere al meglio la struttura e la portata del malware Adwind/jRAT, migliorando così le strategie di cyber security.
Conclusioni
Il malware Adwind/jRAT rappresenta una minaccia seria per la sicurezza informatica in Italia, dimostrando un livello avanzato di modularità e capacità di offuscamento. La sua capacità di passare inosservato agli occhi delle tradizionali sandbox, configurate per default in lingua inglese, e il suo target mirato sulle macchine Windows, indicano che è concepito strategicamente per colpire specifici obiettivi. Pertanto, la collaborazione tra enti come il CERT-AGID e le campagne di sensibilizzazione sono essenziali per prevenire ulteriori compromissioni e difendere la sicurezza dei sistemi informatici nel paese.
- Emergenza Sicurezza in Italia: Crescono gli Attacchi Adwind/jRAT, avverte il CERT-AGID
- La storia del virus e dei malware
- Remote Access Trojan (RAT): l’ombra minacciosa che si cela dietro le e-mail di spam
- Un caso di studio: l’infrastruttura di una campagna Adwind
- jRAT: Strade alternative per una rapida analisi