Il MisterySnail RAT si rivolge alle aziende IT e agli appaltatori della difesa
Il MysterySnail RAT è un nuovo malware che prende di mira i sistemi Windows. È attivo dall'agosto 2021 e i suoi operatori stanno sfruttando le vulnerabilità zero-day nelle versioni di Microsoft Windows. L'ultima vulnerabilità è CVE-2021-40449, ma i criminali si affidano anche a exploit meno recenti da cui alcuni sistemi potrebbero non essere protetti, come CVE-2016-3309.
Dopo la scoperta del MysterySnail RAT, i ricercatori sono stati in grado di identificare lo stesso payload in vecchi attacchi che prendevano di mira società IT, entità diplomatiche e appaltatori coinvolti nei settori militare e della difesa. Presumibilmente, il recente utilizzo del MysterySnail RAT potrebbe essere attribuito all'attore cinese Advanced Persistent Threat (APT) noto come Iron Husky .
Il MisterySnail RAT utilizza il codice generato casualmente per l'offuscamento
Spesso gli sviluppatori di malware mirano a rendere i loro payload il più leggeri possibile. Ciò riduce l'attenzione che attirano e potrebbe anche consentire loro di volare sotto il radar di strumenti di sicurezza specifici. MysterySnail RAT è piuttosto grosso in termini di dimensioni: il suo eseguibile supera gli 8 MB. Tuttavia, gli aggressori stanno utilizzando lo spazio di archiviazione aggiuntivo per memorizzare un codice generato casualmente, che mira a offuscare la vera natura minacciosa dei file eseguibili. Questo potrebbe essere il motivo per cui MysterySnail RAT è stato identificato e sezionato correttamente proprio ora.
Quando MysterySnail RAT infetta una macchina, raccoglie e invia informazioni al server dell'attaccante. Questi dati includono il nome e il nome utente del computer, l'esatta versione di Windows utilizzata dal sistema e il suo indirizzo IP locale. I criminali sono in grado di inviare comandi remoti per azionare l'impianto e dirgli di eseguire i compiti che supporta:
- Avvio e chiusura dei processi.
- Ottieni dati del disco rigido, partizioni, cartelle e informazioni sui file.
- Carica ed esegui file.
- Modificare il file system.
- Metti l'impianto a dormire per un tempo prestabilito.
- Apri una connessione proxy.
La scoperta del MysterySnail RAT e della sua infrastruttura ha aiutato i ricercatori di malware a saperne di più sulle attuali operazioni di Iron Husky.