Cari lettori di Tecnogalaxy, oggi parleremo di un software utilizzato specialmente da amministratori di sistema nelle aziende e da privati, questo software si chiama Advanced IP Scanner.

È stata rilevata una versione modificata del popolare tool per amministratori di sistema Advanced IP Scanner, il certificato di firma valido lo rende insospettabile, ma sotto sotto si nasconde una pericolosissima backdoor pronta per essere utilizzata per avere totale accesso alla rete aziendale.

La nuova release fake è stata ribattezzata “AdvancedIPSpyware”, questo tool ha già infettato più di 80 organizzazioni in tutto il mondo!!!

Ma come funziona AdvancedIPSpyware?

La scoperta è stata fatta dal team di ricerca di Kaspersky, alcuni giorni fa ne ha pubblicato il report reperibile a questo link.

Questo tool malevolo è stato ovviamente ospitato su due siti internet creati utilizzando nomi di dominio confondibili. Questa tecnica sfrutta errori di battitura effettuati dagli utenti nella barra dell’URL rispetto all’originale, tecnica utilizzata dai cyber criminali negli attacchi di phishing,  questa volta utilizzata però per diffondere tale malware.

Il software malevolo è stato inoltre firmato con un certificato autentico, “molto probabilmente rubato da un fornitore ufficiale del software” che è stato preso di mira.

Il software originale utilizza l’anonimizzazione e proprio per questo è difficile individuare le organizzazioni criminali che lo utilizzano.

Architettura del software

Il tool fake è stato sviluppato utilizzando un’architettura modulare, “modello utilizzato tipicamente dai criminali informatici (gruppi cyber sovvenzionati da Stati o governi).

Stando all’analisi le organizzazioni presi di mira indicano che questa campagna di malware non è motivata politicamente.

Il tool è composto da tre moduli che nel dettaglio sono:

Modulo principale: è il modulo principale che aggiorna, elimina o crea nuove istanze di se stesso.

Modulo di esecuzione dei comandi: probabilmente il modulo più importante perché comprende tutte le funzionalità relative allo spyware, (raccolta di informazioni, esecuzione dei comandi etc…)

Il Modulo di comunicazione di rete: anche questo modulo è importante perché gestisce tutte le funzionalità relative all’invio di  messaggi heartbeat.

Kaspersky  ha effettuato un’analisi dei metodi di infezione utilizzati dai cyber criminali, la mail rimane il metodo più comune utilizzato sia dai cyber criminali che dai governi.

Abbiamo esaminato le tecniche meno comuni utilizzate dai criminali informatici: entrambe sono ben note e finora non sono state esposte. Vale a dire, AdvancedIPSyware è caratterizzato dalla sua architettura insolita, dall’uso di uno strumento legittimo e da una copia quasi identica del sito Web legittimo”.

Come ci difendiamo contro lo spyware in azienda?

Malware che sfruttano le backdoor con un certificato firmato valido non è una tecnica nuova, è già stata utilizzata anche in passato.

Questi cyber criminali sviluppatori di malware,  innovano continuamente sia il codice che le tattiche da utilizzare per coprire nuovi ambiti e aumentare così il numero di vittime.

  1. Evitare di fare download di software da fonti non verificabili e poco note.
  2. Verificare nel dettaglio anche l’indirizzo internet (l’indirizzo fake sarà molto simile all’originale)
  3. L’utilizzo di tecnologie per servizi RDP (desktop remoto utilizzate di solito per accedere ai server aziendali), sempre sotto VPN e con autenticazione a due fattori e l’inserimento di password forti.
  4. Tenere sempre aggiornati i propri prodotti interni all’organizzazione, rilasciando e applicando se possibile centralmente le patch necessarie.
  5. Aumentare la conoscenza dei propri utenti spiegando e facendo vedere nel dettaglio come avviene

un attacco informatico.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Questo è tutto riguardo AdvancedIPSpyware, al prossimo articolo.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.