Di Arie Fred, VP of Product, SecBI
Il Remote Access Trojan (RAT) può essere quasi considerato lo strumento “legacy” degli hacker. Il RAT è un programma malware che utilizza una back door per il controllo amministrativo del computer preso di mira. Come tale, i RAT sono utilizzati per operazioni “basse e lente”, prolungate e furtive come le APT. Utilizzando questa tecnica malevola, gli aggressori si prendono il loro tempo per esplorare le reti e le risorse della vittima, e poi si muovono il più silenziosamente possibile per raggiungere i loro obiettivi senza essere scoperti. Alcune APT sono in funzione da anni e i RAT giocano un ruolo cruciale nel permettere agli aggressori di accedere agli obiettivi evitando il rilevamento.
Mentre i RAT sono in giro da un po’ di tempo, non sono aumentati nella loro “popolarità” tra i malware, in quanto sono stati considerati complicati da sviluppare e far funzionare, richiedendo un elevato set di abilità degli hacker. Ma questa tendenza sembra cambiare nell’ultimo anno. Durante gli ultimi 18 mesi circa, i RAT sono diventati più facilmente disponibili e accessibili, portando ad un aumento del numero di vittime di RAT, che non sono attrezzate per rilevare e mitigare questa minaccia malware.
I RAT sono ora economici e disponibili in commercio
Due fattori principali che contribuiscono alla diffusione dei RAT sono la loro disponibilità e l’accessibilità. Per esempio, uno strumento chiamato “Imminent Monitor” Remote Access Trojan (IM-RAT). IM-RAT ha fornito ai criminali informatici l’accesso gratuito alle macchine delle vittime. Era abbastanza intelligente da bypassare i software di rilevamento anti-virus e malware, eseguire comandi come la registrazione delle sequenze di tasti, rubare dati e password, e guardare le vittime attraverso le loro webcam. Tutto questo poteva essere fatto all’insaputa della vittima.
Tutto questo pacchetto, collaudato sul campo e facile da usare, veniva venduto a 25 dollari al pezzo. Fortunatamente, la polizia federale australiana (AFP), con l’attività internazionale coordinata da Europol ed Eurojust, è stata in grado di smantellare l’infrastruttura RAT e di arrestare un certo numero di utenti più prolifici di questo Remote Access Trojan (RAT). Lo sviluppatore e un dipendente di IM-RAT sono stati arrestati in Australia e in Belgio nel giugno 2019, e lo strumento, che è stato utilizzato in 124 paesi e venduto a più di 14.500 acquirenti, non è più disponibile.
In Canada, uno strumento di accesso remoto per uso amministrativo è stato scoperto essere, di fatto, un RAT. Il suo sviluppatore e il responsabile dello sviluppo aziendale, che lavoravano da Toronto sotto l’entità legale “Orcus Technologies” sono stati arrestati. Le forze dell’ordine hanno dichiarato che il duo ha venduto e aiutato gli attori maligni a installare il RAT Orcus sui computer di altre persone, e ha anche gestito un servizio di Dynamic Domain Name Server (DDNS) che ha aiutato il malware a comunicare con gli host infetti senza rivelare il vero indirizzo IP dell’hacker.
Metodi innovativi di infezione
Una volta che i criminali informatici mettono le mani sul RAT, utilizzano modi molto creativi per incorporare il malware nei sistemi delle vittime. Anche se il metodo di infezione principale è ancora tramite un documento armato ricevuto via e-mail, altri metodi stanno purtroppo guadagnando popolarità, come:
- Mascherato come il gioco Tetris, un gruppo di hacker ha usato una versione open-source del gioco Tetris degli anni ’90 per nascondere PyXie RAT e infettare le organizzazioni.
- Attraverso Facebook, un RAT chiamato FlawedAmmyy ha infettato obiettivi militari. I ricercatori hanno scoperto che una falsa pagina di Facebook che impersonava un ufficiale militare americano-libico di nome Khalifa Haftar si è concentrata su contenuti relativi alla politica e all’esercito, inoltre ha allegato URL per scaricare file che dichiarano di essere fughe di notizie dalle unità di intelligence della Libia. Questo non è tutto, alcuni URL sono stati presentati come siti legittimi per i cittadini di iscriversi all’esercito.
- L’uso di un falso invito alla riunione WebEx.
I RAT sono utilizzati per una moltitudine di usi nefasti
Una volta installato, gli hacker hanno il completo controllo remoto sul sistema della vittima, di cui possono abusare in molti modi. Alcuni lo usano per raccogliere informazioni su obiettivi militari e diplomatici, altri per ottenere i dettagli personali e di pagamento degli ospiti di un hotel, e altri hacker prendono il controllo per soddisfare i loro desideri sessuali attraverso il voyeurismo, come l’uomo del Regno Unito recentemente incarcerato per aver usato il RAT per spiare le sue vittime utilizzando la webcam.
Conclusione
Così i RAT sono capaci, disponibili e troppo convenienti per violare facilmente le reti. Questo crea una sfida per le organizzazioni che devono proteggersi da questa minaccia. Purtroppo, la maggior parte dei meccanismi di prevenzione esistenti non sarà in grado di identificare il RAT e prevenire l’infezione perché il RAT sa come rimanere sotto il loro radar. Allo stesso modo, la maggior parte dei meccanismi di sicurezza degli endpoint e la soluzione di rete/perimetrale non saranno di grande aiuto nell’identificare i RAT.
La tecnologia di apprendimento automatico di SecBI basata sul suo algoritmo di analisi dei cluster ha e continuerà a identificare i modelli di attività del RAT e ad allertare gli analisti sui suoi metodi di funzionamento “bassi e lenti”. Siete d’accordo sul fatto che è il momento di aggiornare la vostra difesa informatica per rilevare rapidamente e rimediare al malware “basso e lento”?