Non rispondere a questa mail: rubano i dati e registrano le conversazioni

Ogni giorno che passa aumenta, sempre di più, il pericolo per quanto riguarda il mondo della tecnologia

Oramai non si può più stare tranquilli visto che c’è sempre un modo per fregare il prossimo. Questo è quello che pensano coloro che con i computer ci sanno realmente fare e sono pronti ad adescare il loro pesce per potersi impossessare di dati importanti e, soprattutto, tendere a registrare le conversazioni più importanti.

Un nuovo allarme arriva direttamente dai ricercatori di ASEC. A quanto pare, questi ultimi, hanno effettuato una nuova scoperta: quella di un malware che ha un preciso nome. Molto probabilmente qualcuno di voi (esperto in questo campo) ne avrà sentito parlare visto che stiamo parlando del “FadeStealer“.

Cos’è il Fadestealer? Attenzione alla vostra mail

Cos’è e soprattutto qual è il suo compito principale? A quanto pare la stessa tende a rubare dei dati sensibili del vostro computer e, come riportato in precedenza, registra le conversazioni delle persone nelle vicinanze. In che modo? Utilizzando il microfono del dispositivo. Ad operare in questo “campo” sono gli autori delle attività di spionaggio sono i cybercriminali del gruppo APT37 (StarCruft, Reaper o RedEyes).

A finanziare questo progetto c’è un Paese molto forte economicamente: stiamo parlando della Corea del Nord. Come funziona il tutto? In primis tendono ad inviare una mail di phishing. In questo allegato ci sono almeno tre file: documento Word, un documento Hangul e un file CHM (Compiled HTML Help File) denominato password.chm. In questo messaggio c’è scritto che bisogna essere aperto il file “password.chm“.

In modo tale da ottenere la password dei due documenti. La stessa che viene mostrata all’utente, ma in background viene scaricato ed eseguito uno script PowerShell con funzionalità di backdoor che aggiunge una chiave nel registro per la persistenza (avvio automatico). Successivamente la backdoor comunica con il server C&C (command and control), dal quale riceve vari comandi.

Di conseguenza viene scaricata una seconda backdoor (AblyGo) che permette di ottenere privilegi elevati, rubare dati e distribuire altri malware. Per l’esfiltrazione dei dati viene usato FadeStealer, iniettato nel processo legittimo ieinstal.exe di Internet Explorer. In conclusione questo FadeStealer può usare il microfono per registrare le conversazioni delle persone nelle vicinanze. Dati che entrano a far parte di un archivio RAR e inviati al server C&C ogni 30 minuti.