YamaBot Malware impiegato da Lazarus Group

YamaBot è il nome di un malware, impiegato dall'attore di minacce che si chiama gruppo Lazarus.

YamaBot è anche conosciuto con il nome Kaos ed è scritto e compilato nel linguaggio di programmazione Go, una scelta sempre più popolare tra gli autori di malware.

Il malware può comunicare con la sua infrastruttura di comando e controllo del server utilizzando comandi crittografati e richieste HTTP. Il malware può inviare avanti e indietro informazioni sul nome host del sistema infetto, l'indirizzo MAC e il nome utente corrente.

Gli strumenti disponibili per il malware cambiano a seconda della piattaforma sottostante su cui è stato distribuito. Le istanze YamaBot destinate a macchine Linux utilizzano solo comandi shell tramite /bin/sh, mentre le istanze destinate a sistemi Windows utilizzano una serie di comandi diversi che possono ottenere informazioni su directory e file, scaricare file, eseguire stringhe utilizzando comandi shell ed eliminare YamaBot.

La versione Windows del malware è stata internamente denominata YamaBot dai suoi autori e le versioni destinate a Linux sono internamente denominate Kaos.

I ricercatori di sicurezza mettono in guardia contro gli attacchi che utilizzano il malware YamaBot poiché Lazarus è un attore di minacce importante e pericoloso.

August 5, 2022