Consenti a InnfiRAT di entrare, e le tue password e i dati dei portafogli crittografici possono essere rubati

Potresti pensare che rubare i soldi delle persone su Internet non sia così difficile. Hai appena compromesso alcuni dettagli della carta di credito o alcune credenziali bancarie online e sei pronto per partire. Il fatto è che è un po più complicato di così.

Poiché ci sono così tanti criminali informatici là fuori, le banche e le istituzioni finanziarie hanno preso le precauzioni necessarie per garantire una migliore protezione dei loro clienti. Gli attuali meccanismi antifrode significano che, sebbene non sia impossibile, rubare denaro online è molto più difficile di quanto non fosse prima, e le possibilità di essere scoperti sono molto più significative. Questo è il motivo per cui molti truffatori sono più interessati alla criptovaluta. Tracciare le transazioni con monete digitali è molto più complicato e rubarle non è affatto difficile. Ecco come lo fanno gli operatori del nuovo malware InnfiRAT.

InnfiRAT - un nuovo arrivato in un mercato sovraffollato

InnfiRAT è un nuovo Trojan di accesso remoto (o RAT, come suggerisce il nome) che è stato recentemente scoperto e analizzato dai ricercatori di Zscaler. Il malware è stato scritto in .NET e ha un affinità speciale per i portafogli di criptovaluta, anche se, come scopriremo tra un minuto, le sue capacità vanno ben oltre.

Sfortunatamente, Zscaler non ha fornito troppe informazioni su come viene utilizzato il malware. Apparentemente, hanno visto in libertà, ma non hanno detto nulla su quanto è grande la campagna e su chi è mirata. Il rapporto non contiene alcun dettaglio su come le vittime siano infette, anche se, se dobbiamo indovinare, probabilmente diremmo che InnfiRAT segue esempio di altri ceppi di malware di questo tipo e si distribuisce con aiuto di e-mail di spam. Per fortuna, i ricercatori hanno incluso molte informazioni su cosa fa InnfiRAT quando si trova sul computer di una vittima.

Abbondano le tecniche di furtività e rilevazione-evasione

Come ci si aspetterebbe, InnfiRAT include alcune funzionalità progettate per confondere i ricercatori della sicurezza e i prodotti anti-malware. Quando viene eseguito per la prima volta, si copia come NvidiaDriver.exe nella cartella% AppData%. Quindi scrive un file eseguibile portatile con codifica Base64 in memoria e inizia con alcuni controlli per assicurarsi che non funzioni sotto gli occhi vigili degli ingegneri inversi.

Il malware controlla e ricontrolla i diversi dati sul dispositivo che sta tentando di infettare per assicurarsi che non sia stato inserito in una macchina virtuale. Vengono esaminati elementi quali il nome del computer, il numero di core e il numero di processori logici e, se InnfiRAT trova determinate parole chiave, si interrompe immediatamente. Per ogni evenienza, è anche progettato per scorrere elenco dei processi e cercare Task Manager di Windows e alcuni altri strumenti che i professionisti della sicurezza utilizzano regolarmente. Se determina che viene lanciato da una persona normale su un normale PC, InnfiRAT continua con il suo funzionamento.

Invia IP pubblico della vittima, insieme ad altre informazioni, al server Command and Control (C&C). Per motivi che non sono completamente chiari, uccide quindi tutti i processi del browser in esecuzione e continua a stabilire la persistenza con aiuto di un attività pianificata.

Un RAT multi-talento

Una volta completata infezione, InnfiRAT attende le istruzioni dal C&C. Come con qualsiasi malware di questo tipo, la funzionalità è varia come i comandi inviati da C&C.

Quando si tratta di furto di informazioni, attenzione è rivolta ai portafogli di criptovaluta e ai cookie del browser. InnfiRAT è progettato per cercare le cartelle "Bitcoin" e "Litecoin" al interno di% AppData%. Se li trova, copia i dati dal file wallet.dat e li rimanda al C&C. Il malware ruba anche i cookie di navigazione dai browser più diffusi che possono essere successivamente utilizzati per la compromissione di interi account online.

Oltre ai cookie e agli account di criptovaluta, InnfiRAT può anche rubare file di testo di dimensioni inferiori a 2 MB, che possono esporre informazioni ancora più sensibili. A proposito, il malware ha la capacità di uccidere i processi che potrebbero consentire di disabilitare i prodotti di sicurezza che potrebbero tentare di fermarlo. E una volta che lo fa, può eseguire comandi sulla macchina infetta e scaricare payload aggiuntivi, il che significa che le opportunità di un attacco sono più o meno illimitate.

InnfiRAT è ancora una nuova famiglia di malware, il che significa che ha molto spazio per evolversi. I ricercatori di Zscaler hanno promesso che lo terranno occhio, e dato quanto sia pericoloso, è sicuro dire che anche gli utenti dovrebbero essere un po più attenti.