Crea sito

Topinambour, il malware che si nasconde nelle VPN.

Topinambour è un nuovo malware che utilizza particolari tecniche fileless e si diffonde tramite le VPN. Questo malware è stato creato dall’hacker russo Turla.

Le sofisticate tecniche di occultamento usate da questo malware riducono al minimo le possibilitá che venga individuato, e quindi, può garantire agli hacker una maggiore precisione nel colpire le loro vittime.

Kaspersky Lab ha scoperto che, all’interno del dropper di Topinambour, si nasconde lo stesso codice malevolo scritto in JavaScript giá utilizzato per la diffusione del malware KopiLuwak. Rispetto a quest’ultimo, Topinambour ha anche un modulo con funzionalitá trojan, che permette di eseguire istruzioni PowerShell. Un’altra particolaritá di questo malware è che, tra i server di comando e controllo (C&C), ci sono vari siti Web WordPress legittimi ma compromessi da alcuni script PHP creati apposta dagli hacker, che sono in grado di far perdere le tracce del malware.

Come giá detto in precedenza, il malware si diffonde tramite software legittimi compromessi con il dropper del malware. Tra questi, Kaspersky ha individuato due tool utili per aggirare la censure su Internet, ovvero Softether VPN 4.12 e psiphon3.

Topinambour è quindi in grado di completare tutte le operazioni tipiche di un trojan: caricare, scaricare ed eseguire file sul computer della vittima, ma anche intercettare eventuali sistemi biometrici e catturare screenshot dello schermo.

Come difendersi:

La continua evoluzione dell’arsenale malevolo del gruppo APT Turla ci ricorda come sia fondamentale essere costantemente informati sull’intelligence delle minacce e sugli ultimi software di sicurezza in grado di proteggere da strumenti e tecniche utilizzate di recente nelle campagne APT (Advanced Persistent Threat).

“La protezione degli endpoint e il controllo degli hash dei file dopo il download di un software di installazione potrebbero rivelarsi utili nella difesa da minacce come Topinambour”, ha commentato Kurt Baumgartner, Principal Security Researcher di Kaspersky.

Per ridurre ulteriormente le possibilità di diventare vittima di sofisticate operazioni di spionaggio informatico, inoltre, è utile seguire questi consigli:

  • implementare programmi di formazione sulla sicurezza per i dipendenti, che possano aiutare a riconoscere e ad evitare applicazioni o file potenzialmente dannosi. I dipendenti, ad esempio, non dovrebbero mai scaricare e avviare applicazioni o programmi che provengono da fonti non attendibili o sconosciute;
  • per il rilevamento, le indagini e la tempestiva risoluzione di eventuali incidenti a livello degli endpoint, è utile adottare soluzioni di Endpoint Detection and Response (EDR);
  • oltre a scegliere una protezione essenziale a livello degli endpoint, è importante anche implementare una soluzione di sicurezza “corporate-grade” che rilevi tempestivamente le minacce avanzate a livello di rete;
  • infine, è importante mettere a disposizione del proprio team SOC le informazioni più recenti a livello di Threat Intelligence, in modo che la squadra sia sempre aggiornata sugli strumenti, le tecniche e le tattiche, nuove ed emergenti, utilizzate dai principali autori di cyber minacce.

Pubblicato da legalitasardegna

l’Associazione denominata “LEGALITÀ' SARDEGNA" è costituita da Carabinieri in congedo, familiari degli stessi e simpatizzati dell’Arma dei Carabinieri, la stessa ha le caratteristiche di organizzazione non lucrativa di utilità sociale, è apolitica, apartitica ed aconfessionale;