La banda di OldGremlin Ransomware cerca la vittima con la TinyFluff Backdoor

Gli attori APT (Advanced Persistent Threat) non mostrano sempre attività notevoli. Alcuni di loro preferiscono perseguire alcuni attacchi altamente mirati che potrebbero produrre enormi ritorni se eseguiti con successo. Questa è la strategia esatta su cui fanno affidamento gli hacker noti come OldGremlin. In precedenza sono stati coinvolti in numerosi attacchi ransomware, in genere effettuati contro aziende e imprese con sede in Russia. Tuttavia, la frequenza dei loro attacchi è molto bassa – solo cinque sono stati effettuati nel 2021. Inoltre, il gruppo è rimasto in silenzio per quasi un anno – fino ad ora.

Di recente, gli esperti di malware si sono imbattuti in un nuovo Trojan backdoor che è stato soprannominato TinyFluff Backdoor. Sembra condividere somiglianze con le precedenti backdoor utilizzate dagli hacker OldGremlin. Inoltre, riutilizza anche alcune delle infrastrutture di rete su cui gli hacker di OldGremlin avevano fatto affidamento in precedenza.

Gli obiettivi della TinyFluff Backdoor sono ancora una volta le istituzioni finanziarie russe. I criminali stanno approfittando degli eventi attuali e inviano e-mail di phishing che affermano di contenere informazioni sulle attuali sanzioni finanziarie contro aziende e cittadini russi. I destinatari sono invitati a scaricare e rivedere un allegato e-mail, che è ospitato su un servizio di hosting pubblico come Dropbox. Tuttavia, il download nasconde un codice dannoso che ha lo scopo di distribuire TinyFluff Backdoor.

Una volta attiva, la backdoor dà pieno accesso al dispositivo infetto. Raccoglie dati sul sistema, hardware e software. I criminali possono inviare comandi remoti, introdurre plug-in aggiuntivi e altro ancora. Sorprendentemente, TinyFluff Backdoor non è stato ancora utilizzato in combinazione con i payload di ransomware di OldGremlin, tuttavia, è probabilmente solo una questione di tempo.