Un nuovo malware pericoloso circola sul web, è una variante di Rakhni

Rakhni Malware Ransomware Trojan Worm Cryptominer Italia Usa Russia India Kazakhstan Ucraina Usa Novikov Cybertech Cyber Apt Privacy Cybercrime Cyberwarfare Garbage Cyber Kaspersky Trump

Kaspersky: sul web circola una variante del malware Rakhni, capace di decidere quali cyber attacchi effettuare in base alle caratteristiche del computer della vittima. Ha colpito in Russia, Kazakhstan, Ucraina, Germania, India e anche in Italia

C’è un nuovo malware molto pericoloso sul web, è una variante del ransomware Rakhni ed è capace di decidere come operare in base alle caratteristiche del computer della vittima. Lo hanno scoperto i ricercatori di sicurezza informatica di Kaspersky. Il codice malevolo, noto già dal 2013, ha introdotto una funzionalità per il mining di cryptocurrencies (cryptomining). Questo, una volta installato nel sistema in base alle sue caratteristiche decide se attivare la funzionalità di cifratura dei file, tipica dei ransomware, o quella per l’estrazione di diversi tipi di criptovalute. Rakhni viene distribuito prevalentemente attraverso campagne di cyber attacchi di tipo spam tramite email con allegati malevoli. Stando a quanto riportato dall’azienda di Eugene Kaspersky, il paese più colpito risulta la Federazione Russa (95,57%), seguito da Kazakhstan (1,36%), Ucraina (0,57%), Germania (0,49%) e India (0,41%). Altri paesi europei, tra cui l’Italia, sono coinvolti in misura ancora minore.

Il nuovo malware come vettore dei suoi cyber attacchi usa email di spam, scritte prevalentemente in russo, con allegati malevoli che nascondono un trojan

Come funzionano i cyber attacchi con la nuova versione del malware Rakhni? Le Email, scritte prevalentemente in russo, hanno come allegato un file di Microsoft Word, che a sua volta presenta al suo interno quello che appare come un documento PDF embedded. Se la vittima per errore clicca sull’icona del documento, invece di aprire un file PDF lancia un trojan mascherato da prodotto Adobe, allo scopo di indurre l’utente a consentire il permesso per l’esecuzione. Rakhni, come ricorda il CERT nazionale italiano, per prima cosa effettua una serie di controlli sul sistema allo scopo di evitare di essere eseguito all’interno di un ambiente virtuale. Il malware verifica la presenza di processi riconducibili a sandbox, software di virtualizzazione e altri strumenti utilizzati per l’analisi di malware.

La nuova variante di Rakhni è in grado di stabilire se inoculare nel sistema della vittima un ransomware o un cryptominer. Inoltre, può attivare le funzionalità di worm per diffondersi

Il trojan nel suo cyber attacco confronta anche nome della macchina, indirizzo IP e diverse chiavi di registro con liste codificate di nomi, indirizzi e chiavi che possano indicare la presenza di macchine virtuali. Se anche uno solo di questi controlli dà esito positivo, il malware interrompe immediatamente l’esecuzione. Se è negativo, installa un certificato di root incluso tra le proprie risorse. Poi, Rakhni decide se scaricare il ransomware o il miner, a seconda della presenza o meno sul sistema della cartella %AppData%\Bitcoin. Se esiste viene scaricato il modulo per la cifratura. In caso contrario e se la macchina è equipaggiata con un processore con almeno due core logici, viene scaricato il modulo per il cryptomining. Peraltro, se nessuna di queste circostanze si verifica, viene attivata la funzionalità di worm. Questa tenta di copiare il codice malevolo su tutti i computer accessibili sulla rete locale con la directory Utenti condivisa.