Il Computer Emergency Response Team (CERT) dell’Ucraina ha da poco condiviso un avviso che va a mettere in evidenza l'elevato grado di pericolosità di Gamaredon. In particolare, viene sottolineata la velocità con cui riescono a rubare i dati delle vittime.
Gamaredon: file trafugati alla velocità della luce
Trattasi di un temuto gruppo di cybercriminali che eseguono attività di cyberspionaggio per conto del servizio di sicurezza federale russo (FSB) e da cui con ogni probabilità vengono pagati.
Sono stati rilevati migliaia di attacchi contro il governo e organizzazioni private e pubbliche. Tutto ha inizio con l’invio di email o messaggi via Telegram, WhatsApp, Signal e altre app di messaggistica. I messaggi di posta elettronica hanno come allegati file HTM, HTA e LNK che sembrano documenti Microsoft Word o Excel.
All'apertura dei file vengono scaricati ed eseguiti script PowerShell e il malware GammaSteel. Inoltre, vengono modificati tutti i modelli di Word per celare macro infette nei documenti creati.
Gli script PowerShell consentono di accedere ai cookie di sessione dei browser, mentre GammaSteel cerca file con specifiche estensioni relative a documenti di testo, immagini e altre tipologie di file.
L’esfiltrazione dei file può avvenire anche in soli 30 minuti. I cybercriminali scaricano fino a 120 file a settimana sul computer per una maggiore persistenza.
Il malware viene copiato su tutti i dispositivi USB collegati al computer, per cui si diffonde con una certa facilità pure su altri dispositivi, pure su quelli su cui non è abilitata la connessione ad Internet. Inoltre, viene modificato l’indirizzo IP dei server C2 (command and control) di continuo, fino a sei volte al giorno, al fine di evitare l'individuazione.