Malware remote control

Nel 2015 improvvisamente 80.000 persone in Ucraina si ritrovano senza corrente elettrica.
Cosa è accaduto?

Sembra che questo avvenimento sia da ricollegare all’azione di un RAT, ovvero un Remote Access Trojan.

In altre parole, un attaccante è riuscito ad installare un malware in uno dei computer che regolavano la distribuzione di elettricità nel paese.
Attraverso di esso, il criminale ha preso possesso del computer, arrivando a controllarlo da remoto come se potesse esserci lui stesso davanti allo schermo.

L’attacco è riuscito nell’intento di aggirare i privilegi di autenticazione sulla rete e a portare a compimento il suo piano d’azione. Resta evidente che questi malware possono portare delle conseguenze gravissime sia per le aziende che per gli utenti privati.

Leggete l’articolo per saperne di più.

1. Cosa sono i Malware remote control
2. Come funziona un attacco RAT?
3. Come difendersi dai malware remote control?
4. Conclusioni

Esistono dei software per il controllo remoto che sono considerati pienamente legittimi.
Ad esempio, quelli che permetto ad un amministratore di sistema di controllare un dispositivo pur non essendo fisicamente nello stesso posto in cui si trova quest’ultimo. Anche le aziende, sempre più spesso, possiedono software per il controllo a distanza per i loro processi produttivi.

Purtroppo, la stessa tecnologia viene spesso recuperata dagli hacker per riprodurrei cosiddetti Malware remote control o anche Remote Acces Trojan (RAT).

I malware ad accesso remoto sono dei software malevoli che permettono di prendere il controllo di computer, mouse, tastiera, di accedere ai file e alle risorse di rete, alla webcam, camera, hardware o altri dispositivi collegati.

I RAT danno la possibilità all’attaccante di avere pieno controllo del dispositivo infetto, rende possibile il monitoraggio di file e applicazioni bypassando i normali sistemi di sicurezza come firewall, sistemi anti intrusione (IDS) e controlli di autenticazione.

Inoltre, i RAT sono progettati in modo tale che l’utente vittima non si accorga della loro presenza. Proprio per questo spesso il RAT si attiva nei momenti di inattività del dispositivo e non è visibile nei processi in esecuzione. Quello che più di tutto serve a questi criminali è il tempo.
Tempo necessario per esfiltrare i dati o per ottenere i requisiti necessari per sferrare il vero attacco, quello che arrecherà più danni alla vittima.

Gli obiettivi degli remote access malware possono essere :

• La vittima potrebbe essere spiata per essere ricattata in seguito o per carpire informazioni sul suo conto
• Il dispositivo può essere utilizzato per scagliare attacchi DDoS
• Generare criptovalute senza sovra costi in elettricità
• Conservare file illegali

Come per tutti gli attacchi malware, il malware remote control generalmente ha necessità di un veicolo di infezione.
Ovvero l’hacker deve riuscire a raggirare l’utente in modo che sia esso stesso a scaricare il software malevolo.
I mezzi più utilizzati come veicolo dell’infezione sono:

• allegati in e-mail di phishing
• download da siti inaffidabili o contraffatti
• esecuzione di macro nascoste in file word, Excel o Pdf.

Una volta installato il RAT, segue una fase di raccolta dati: il criminale ha accesso a qualsiasi parte del dispositivo, comprese le unità esterne che dovessero essergli collegate.

In questo caso è come se l’attaccante fosse riuscito ad entrare di nascosto nella stanza in cui si trova il computer, dopo aver trafugato la password di accesso. Come se non bastasse questi malware sono spesso equipaggiati con altri malware, ad esempio un keylogger, per ottenere credenziali di accesso ad account privati o aziendali.

Raccolte tutte le informazioni necessarie i criminali informatici possono sfruttarle per ottenere privilegi di accesso all’interno di reti aziendali e il controllo su dispositivi critici.

Tuttavia, potrebbero anche:

1. rubare l’identità della vittima
2. estrometterla dai suoi conti bancari
3. intercettare perfino i codici per i secondi fattori di autenticazione
4. lanciare campagne di phishing tramite l’account di posta elettronica della vittima.

Tutto questo senza che il malcapitato se ne renda conto.
La caratteristica dei Malware a controllo remoto è infatti la capacità di lavorare nell’ombra anche per lunghi periodi, che in realtà è anche la possibilità, per le aziende di accorgersi della sua presenza prima che sia troppo tardi.

Veniamo alla parte più interessate.
Dopo aver capito come funziona questo malware e quali terribili conseguenze può avere per privati ed aziende, vi starete sicuramente chiedendo:

Come si fa a prevenirlo?
Come faccio a identificarlo se la sua caratteristica principale è quella di restare silente?

Iniziate aprendo l’elenco dei processi in esecuzione.
Normalmente i RAT non sono visibili lì ma è comunque un primo check che si può fare se si sono dei dubbi.
Nel caso in cui non si trattasse di un RAT potreste comunque trovare la causa dei vostro problema in quella sezione. Se trovate un nome sospetto o sconosciuto fate una ricerca in rete per scoprire se si tratta di un malware o di un processo legittimo.

Scansionate il dispositivo con un antimalware, dovrebbe essere in grado di rilevare la maggior parte dei malware remote control presenti in circolazione ma è fondamentale che sia aggiornato da poco e gli zero-day potrebbero comunque sfuggirgli.

Se vi rendete conto di avere uno di questi malware, per rimuoverlo, iniziate scollegando il computer da Internet.
Così facendo disabilitate il controllo remoto e potrete procedere con l’anti malware per cancellarlo.

Attraverso i RAT, i cyber criminali riescono ad ottenere il pieno accesso a tutto ciò che è contenuto in un dispositivo incluse tutte le funzionalità, le applicazioni, l’accesso a tutti i servizi e alle unità rimovibili connesse. E’ veramente come aver consegnato il proprio computer ad un malintanzionato senza condizioni.

Questi malware sono pericolosi perché sono spesso accompagnati da altre infezioni e sono pensati per non destare sospetti.
Inoltre, dato il livello di controllo che l’hacker ha sul dispositivo può raccogliere informazioni e utilizzarle per ledere la vittima in ogni modo che riesca ad immaginare, o anche semplicemente utilizzare il dispositivo per azioni illegali a nome del legittimo proprietario. Infine maggiore sarà il tempo che intercorre tra il download e il rilevamento della minaccia tanto maggiore sarà il danno subito.

Consigli per difendersi?

1. Non scaricare mai qualcosa da fonti inaffidabili
2. Mantienere aggiornato l’antimalware
3. Utilizzare sistemi di rilevamento delle intrusioni