Saefko: un nuovo RAT è in vendita sul dark web

16/08/2019

malware rat Saefko trojan

Di recente, il team Zscaler ThreatLabZ ha scoperto un nuovo trojan di accesso remoto (RAT) in vendita sul dark web. Il RAT, chiamato Saefko, è scritto in .NET e ha molteplici funzionalità. 

Un RAT è un tipo di malware che include una backdoor per il controllo amministrativo remoto del computer di destinazione e vengono generalmente scaricati a seguito dell’apertura di un allegato di posta elettronica o con il download di un’applicazione o di un gioco. Poiché un RAT consente il controllo amministrativo, l’intruso ha di solito un ampio margine di manovra sul sistema vittima, come monitorare il comportamento degli utenti registrando i tasti premuti, l’accesso alle informazioni riservate, l’attivazione della webcam del sistema, l’acquisizione di schermate, la formattazione delle unità e altro ancora. 

Il malware Saefko decomprime se stesso e inserisce il file saefkoagent.exe in “/%AppData%/Roaming/SaefkoAgent.exe” e lo esegue dalla posizione. Si copia anche in “/%AppData%/Roaming/windows.exe” e “/%AppData%/Local/explorer.exe” e li esegue. 

Saefko controlla innanzitutto se la connessione Internet è attiva collegandosi a “clients3.google.com/generate_204“. Quindi utilizza una tecnica unica per identificare se il sistema infetto contiene informazioni vitali. Recupera la cronologia del browser e cerca determinati siti Web visitati dall’utente e fa un conteggio in base alle categorie indicate nel documento emesso. Sulla base delle informazioni raccolte, l’attaccante può determinare e selezionare quali sistemi sono preferenziali rispetto ad altri.

Meccanismo di contatto verso i Server C&C 

Il RAT invia i dati raccolti a un server di comando e controllo come mostrato di seguito: 

Dopo aver ottenuto una risposta “ok” dal server, Saefko avvia la funzione “StartServices” che ha quattro diversi moduli di infezione:  

  • HTTPClient 
  • IRCHelper 
  • Keylogger 
  • StartLocalServices (diffusione via USB) 

Diffusione del malware

La zona maggiormente colpita è l’Europa ma ci sono segnalazioni nel sud-est Asiatico, in India, in Australia, negli Stati Uniti e in Sud America:

Indicatori di Compromissione (IoC)

Si riportano gli indicatori di compromissione noti:

  • IoC (.txt) – File globale: hash files, Domini, IP;
  • IoC (.HASHr) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr