Una nuova backdoor sviluppata in Python è stata scoperta dai ricercatori di sicurezza, utilizzando un servizio di tunnel legittimo come ponte per estrarre credenziali. Il malware si diffonde tramite file dannosi e applica tecniche di evasione per eludere gli antivirus. Una volta dentro, stabilisce connessioni crittografate con un server C2, rendendo difficile il blocco del suo traffico. Il suo obiettivo è rubare password memorizzate in browser come Chrome e Firefox, oltre agli accessi a piattaforme cloud come AWS e Azure.
Tunnel legittimi come copertura per il furto di dati 🕳️
La backdoor utilizza un servizio di tunnel legittimo per mascherare il suo traffico di comando e controllo, complicando il rilevamento da parte dei sistemi di sicurezza perimetrale. Scritta in Python, impiega librerie standard per interagire con il sistema operativo, estrarre dati dai depositi di password dei browser e raccogliere credenziali di servizi cloud tramite API. Il suo design modulare consente di aggiornare i moduli di furto senza modificare il nucleo del malware. I ricercatori sottolineano che la sua capacità di evasione include controlli sandbox e ritardi nell'esecuzione per evitare analisi automatizzate.
Anche i criminali informatici sanno usare le VPN, ma per rubare 🦹
Sembra che anche i cattivi si siano modernizzati e ora usino tunnel VPN come qualsiasi impiegato che vuole guardare Netflix dal lavoro. La differenza è che loro non cercano serie TV, ma le tue password di AWS e Azure. La cosa più triste è che il servizio di tunnel è completamente legale e legittimo, quindi non possiamo nemmeno incolpare lo strumento. È come se un ladro usasse un Uber per arrivare a casa tua: l'auto non ha colpa, ma il viaggio rimane sospetto.