Gamaredon: dati trafugati in 30 minuti

Il Computer Emergency Response Team (CERT) dell’Ucraina ha da poco condiviso un avviso che va a mettere in evidenza l'elevato grado di pericolosità di Gamaredon. In particolare, viene sottolineata la velocità con cui riescono a rubare i dati delle vittime.

Gamaredon: file trafugati alla velocità della luce

Trattasi di un temuto gruppo di cybercriminali che eseguono attività di cyberspionaggio per conto del servizio di sicurezza federale russo (FSB) e da cui con ogni probabilità vengono pagati.

Sono stati rilevati migliaia di attacchi contro il governo e organizzazioni private e pubbliche. Tutto ha inizio con l’invio di email o messaggi via Telegram, WhatsApp, Signal e altre app di messaggistica. I messaggi di posta elettronica hanno come allegati file HTM, HTA e LNK che sembrano documenti Microsoft Word o Excel.

All'apertura dei file vengono scaricati ed eseguiti script PowerShell e il malware GammaSteel. Inoltre, vengono modificati tutti i modelli di Word per celare macro infette nei documenti creati.

Gli script PowerShell consentono di accedere ai cookie di sessione dei browser, mentre GammaSteel cerca file con specifiche estensioni relative a documenti di testo, immagini e altre tipologie di file.

L’esfiltrazione dei file può avvenire anche in soli 30 minuti. I cybercriminali scaricano fino a 120 file a settimana sul computer per una maggiore persistenza.

Il malware viene copiato su tutti i dispositivi USB collegati al computer, per cui si diffonde con una certa facilità pure su altri dispositivi, pure su quelli su cui non è abilitata la connessione ad Internet. Inoltre, viene modificato l’indirizzo IP dei server C2 (command and control) di continuo, fino a sei volte al giorno, al fine di evitare l'individuazione.