skip to Main Content

C’è un malware in Java Script capace di sfuggire a tutti gli antivirus

C’è Un Malware In Java Script Capace Di Sfuggire A Tutti Gli Antivirus

Yoroi: C’è un malware in Java Script che è riuscito a sfuggire a tutti i 58 AV ospitati su VirusTotal, grazie a tecniche di evasione. Il payload finale, un Revenge RAT, è identico a quello della campagna “Roma255”, che ha preso di mira le aziende automotive in Italia. Non si sa, però, se l’attore sia lo stesso

C’è un malware in Java Script, capace di sfuggire a tutti i 58 antivirus (AV) ospitati su VirusTotal, e che potrebbe aver già colpito recentemente in Italia. Lo hanno scoperto gli esperti di cyber security di Yoroi-Cybaze. Il payload finale è identico a quello della campagna di spionaggio cibernetico “Roma255”, che ha preso di mira le aziende automotive nel nostro paese. Non si sa se dietro a questo nuovo file ci sia lo stesso attore. Ciò che è certo, invece, è che questo sfrutta diverse tecniche per evadere i sistemi di rilevamento ed è più grande della media (circa 1 Mega). Si tratta di un Revenge Remote Access Tool (RAT Revenge), usato da molti gruppi del cybercrime, la cui pericolosità è elevata. I suoi creatori, infatti, sono riusciti a nasconderlo, semplicemente manipolando il codice del dropper. Inoltre, anche dopo diversi giorni dalla sua scoperta, solo due antivirus lo hanno identificato.

Gli esperti di cyber security: In Roma255 ci sono similitudini col modus operandi dell’APT Gorgon Group, ma il codice sorgente del malware è di dominio pubblico da anni 

Le aziende del settore automotive in Italia alla fine di dicembre del 2018 erano state colpite dalla campagna di cyber spionaggio Roma225 con il RAT Revenge. Secondo gli esperti di cyber security di Yoroi, Il malware era stato diffuso via mail in cui il cybercrime impersonava un partner di un maxi studio legale brasiliano. All’interno del messaggio, però, era nascosto un documento PowerPoint, “armato” con il codice macro VBA. Questo faceva partire l’esecuzione di un tool, che poi portava all’istallazione del payload malevolo. Come nel caso del file che riesce a evadere gli AV di VirusTotal, non ci sono certezze su chi siano i programmatori/distributori del RAT. Almeno nel caso di Roma255, però, ci sono similitudini con il modus operandi dell’APT Gorgon Group. Ma il codice sorgente del malware è di dominio pubblico ormai da anni. Di conseguenza, chiunque potrebbe averlo usato per creare nuove minacce come quella odierna.

Back To Top