14 febbraio 2014

Kaspersky smaschera Careto, il più complesso malware multipiattaforma mai realizzato



Kaspersky, la famosa società di sicurezza russa, ha pubblicato un report su The Mask (chiamato anche Careto), un potete malware molto complesso che è stato in circolazione sino a Gennaio 2014.

Chi ha infettato?

Careto è un malware rivolto ad obiettivi di alto livello come:
  • Uffici diplomatici e ambasciate
  • Società energetiche, gas e petrolio
  • istituti di ricerca
  • Private equity
  • Attivisti
Durante la sua attività ha fatto vittime in 31 paesi per un totale di più di 1000 IP. Ecco la lista dei paesi coinvolti: Algeria, Argentina, Belgio, Bolivia, Brasile, Cina, Colombia, Costa Rica, Cuba, Egitto, Francia, Germania, Gibilterra, Guatemala, Iran, Iraq, Libya, Malesia, Messico, Morocco, Norvegia, Pakistan, Polonia, Sud Africa, Spagna, Svizzera, Tunisia, Turchia, Gran Bretagna, Stati Uniti e Venezuela.

Minaccia multi piattaforma

Ma perché parliamo di Careto su Marco's Box? Semplice, perché questo malware, che include un rookit ed un bootkit, è in grado di colpire sistemi operativi Windows (sia 32-bit che 64-bit), Mac OS X e Linux. 
Secondo Kaspersky, sui server sono stati trovati alcuni moduli che sembrano esser stati progettati appositamente per Linux anche se non sono stati in grado di trovare la backdoor Linux.
Gli analisti di Kaspersky non escludono che Careto possa infettare anche sistemi operativi mobili come Android e iOS.

Ma come agisce Careto?

Il funzionamento di Careto è semplice. L'infezione parte con l'invio di messaggi email di phishing con un link ad un sito malevolo camuffato. Il sito malevolo contiene una serie di exploit in grado di identificare il tipo di computer e di infettarlo. Dopo aver infettato il computer l'utente viene indirizzato al sito web benigno che era indicato nella mail infetta. Il visitatore non si accorge dunque di nulla. I siti coinvolti sono quelli dei principali quotidiani online come il Guardian o il Washington Post.

Cosa fa Careto una volta infettato una macchina?

Il malware raccoglie diversi tipi di documenti dal sistema infetto gra cui le chiavi di crittografia, le configurazioni VPN, chiavi SSH e file RDP. Ci sono anche diverse estensioni sconosciute che i tecnici Kaspersky non sono stati in grado di identificare e che molto probabilmente sono correlati a strumenti di crittografia utilizzati da militari e governi.

Ecco la lista completa dei file raccolti dalle configurazioni che abbiamo analizzato:

*.AKF,*.ASC,*.AXX,*.CFD,*.CFE,*.CRT,*.DOC,*.DOCX,*.EML,
*.ENC,*.GMG,*.GPG,*.HSE,*.KEY,*.M15,*.M2F,*.M2O,*.M2R,*.MLS,*.OCFS,
*.OCU,*.ODS,*.ODT,*.OVPN,*.P7C,*.P7M,*.P7Z,*.PAB,
*.PDF,*.PGP,*.PKR,*.PPK,*.PSW,*.PXL,*.RDP,*.RTF,*.SDC,*.SDW,
*.SKR,*.SSH,*.SXC,*.SXW,*.VSD, *.WAB,*.WPD,*.WPS,*.WRD,*.XLS,*.XLSX

Come potete vedere intercetta anche i file di Microsoft Office e i formati aperti ODT e ODS.

Per quanto tempo ha agito?

Le prime versioni di Careto sono state compilate nel 2007. Il malware è stato attivo sino a Gennaio 2014; i server sono stati chiusi durante le indagini dei tecnici Kaspersky, questo significa che chi ha realizzato Careto si sarà accorto delle indagini in corso.

Chi ha realizzato Careto?

Vista la complessità del malware nonché il tipo di obiettivi ai quali era rivolto si presuppone che Careto sia stato realizzato da professionisti, molto probabilmente si tratta di qualche Stato.


Maggiori info su The Mask li potete trovare ai seguenti indirizzi:

Nessun commento:

Posta un commento

Licenza
Licenza Creative Commons

Quest' opera è distribuita con licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 3.0 Unported. Questo blog non rappresenta una testata giornalistica, in quanto viene aggiornato senza alcuna periodicità. Non può, pertanto, considerarsi un prodotto editoriale, ai sensi della legge n. 62 del 7/03/2001

Disclaimer immagini

Le immagini utilizzate in questo blog appartengono ai loro rispettivi autori e sono utilizzati per scopi educativi, personali e senza scopo di lucro. Ogni eventuale violazione del copyright non è intenzionale, ma se si riconosce un'immagine protetta da copyright, fatemelo sapere qui, e sarò lieto di aggiungere i credits o modificarla o rimuoverla.

Disclaimer images

Images used on this blog belong to their respective authors and are used for educational, personal and no profit purposes. Any eventual copyright infringement is not intentional, but if you recognize a copyrighted image, please let me know here, and I'll happily provide to add the right credits or modify or remove it.