Un nuovo gruppo di cybercriminali, noto come GopherWhisper, è emerso sulla scena della cybersecurity, attirando l’attenzione degli esperti di sicurezza informatica. Questo gruppo, presumibilmente di origine cinese, ha sviluppato e utilizzato una serie di malware per attaccare istituzioni governative, in particolare in Mongolia, sfruttando piattaforme di comunicazione come Outlook, Discord e Slack.
La scoperta di ESET e le tecniche di attacco
Ricerche condotte da ESET hanno rivelato l’esistenza di GopherWhisper, un gruppo che si distingue per l’uso innovativo di malware e tecniche di esfiltrazione dei dati. Gli attacchi avvengono attraverso l’infiltrazione di software dannoso in applicazioni di uso comune, rendendo difficile la loro individuazione da parte degli utenti e dei sistemi di sicurezza. Questo approccio non solo complica la difesa ma aumenta anche l’efficacia delle campagne malevole.
Panoramica sui malware utilizzati da GopherWhisper
Il primo malware identificato è LaxGopher, una backdoor scritta in linguaggio Go. Questa backdoor interagisce con un server Slack privato, ricevendo comandi e scaricando ulteriori payload. ESET ha identificato anche altri sei malware, ognuno con funzioni specifiche:
- JabGopher: inietta LaxGopher, mascherata da whisper.dll, nella memoria del processo svchost.exe.
- RatGopher: una backdoor scritta in Go che comunica con un server Discord per ricevere messaggi di comando e controllo.
- SSLORDoor: sviluppata in C++, utilizza OpenSSL BIO per la comunicazione tramite socket raw sulla porta 443, eseguendo comandi su input C&C.
- BoxOfFriends: sfrutta l’API REST di Microsoft 365 Outlook per creare e modificare bozze di email, facilitando le comunicazioni con i server C&C.
- FriendDelivery: una DLL infetta che funge da loader per BoxOfFriends.
- CompactGopher: un tool che comprime file e li trasferisce automaticamente su servizi di hosting come file.io.
Le implicazioni delle attività di GopherWhisper
Il modo in cui GopherWhisper utilizza le credenziali codificate nelle proprie backdoor per accedere a account su Slack, Discord e Microsoft Outlook è particolarmente preoccupante. Questo approccio ha permesso ai ricercatori di ESET di accedere alle comunicazioni tra i cybercriminali e i loro server di comando e controllo (C2), rivelando la natura e la portata delle operazioni in corso.
Le istituzioni governative, in particolare, sono diventate un bersaglio primario, sottolineando la necessità di un monitoraggio attento e di misure di sicurezza avanzate per proteggere i dati sensibili. L’uso di piattaforme di comunicazione comuni per eseguire operazioni malevole evidenzia come anche gli strumenti più innocui possano essere sfruttati in modi inaspettati.
Raccomandazioni per la protezione dai malware
In un contesto in cui i gruppi di hacker come GopherWhisper stanno diventando sempre più sofisticati, è fondamentale che le organizzazioni attuino misure di sicurezza robuste. Ecco alcune raccomandazioni:
- Implementare software antivirus e antimalware aggiornati per rilevare e bloccare le minacce.
- Formare il personale sulla sicurezza informatica, evidenziando l’importanza di riconoscere email sospette e link non affidabili.
- Utilizzare l’autenticazione a due fattori (2FA) per proteggere gli account di accesso a servizi critici.
- Monitorare regolarmente le comunicazioni e i log di accesso per identificare attività sospette.
Il panorama della cybersecurity è in continua evoluzione e la sorveglianza costante è essenziale per difendersi da gruppi come GopherWhisper, il cui modus operandi dimostra che la cybersecurity non è mai un obiettivo raggiunto, ma un processo continuo. La consapevolezza e la preparazione rimangono le chiavi per proteggere le informazioni sensibili e le infrastrutture critiche dagli attacchi informatici in crescita.
Per restare sempre aggiornato seguici su Google News!
