Il falso documento pdf allegato all’email “PURCHASE ORDER 05-30-2023” contiene un link, da cui si scarica un file tgz con un TAR, al cui interno c’è un exe: il malware.
Ecco Saefko, un nuovo RAT in vendita sul Dark Web
Zscaler: Arriva Saefko, nuovo RAT in vendita sul Dark Web
Si chiama Saefko ed è un nuovo RAT in vendita sul Dark Web. Lo hanno scoperto i ricercatori di cyber security di Zscaler. Il trojan di accesso remoto (RAT) è scritto in .NET e ha molteplici funzionalità. Il malware, una volta installatosi nel computer della vittima, controlla innanzitutto se la connessione Internet è attiva collegandosi. Successivamente utilizza una tecnica unica per identificare se il sistema infetto contiene informazioni vitali. Recupera la cronologia del browser e cerca determinati siti Web visitati dall’utente. Inoltre, effettua un conteggio in base alle categorie indicate nel documento emesso. A seguito di ciò, sulla base delle informazioni raccolte, i cyber criminali possono determinare e selezionare quali sistemi sono preferenziali rispetto ad altri. La zona maggiormente colpita al momento è l’Europa, ma ci sono segnalazioni nel sud-est Asiatico, in India, in Australia, negli Stati Uniti e in Sud America.
Gli esperti di cyber security: il malware si diffonde attraverso mail con allegati infetti o con il download di un’applicazione o di un gioco
Un RAT come Saefko è un tipo di malware che include una backdoor per il controllo amministrativo remoto del computer di destinazione. Tradizionalmente, il cybercrime veicola questo tipo di infezioni attraverso messaggi di posta elettronica con allegati malevoli o con il download di un’applicazione o di un gioco. Poiché un RAT consente il controllo amministrativo, ricordano gli esperti di cyber security del CertPa, l’intruso ha di solito un ampio margine di manovra sul sistema vittima, come monitorare il comportamento degli utenti registrando i tasti premuti, l’accesso alle informazioni riservate, l’attivazione della webcam del sistema, l’acquisizione di schermate, la formattazione delle unità e altro ancora. Nel caso specifico Saefko decomprime se stesso e inserisce il file saefkoagent.exe in “/%AppData%/Roaming/SaefkoAgent.exe” e lo esegue dalla posizione. Si copia anche in “/%AppData%/Roaming/windows.exe” e “/%AppData%/Local/explorer.exe” e li esegue.
Articoli correlati
