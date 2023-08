L'azienda Sysdig ha affermato che i ricercatori con il suo Threat Research Team hanno scoperto un payload di malware chiamato LabRat estremamente elusivo.

Secondo il report degli esperti "Molti aggressori non si preoccupano affatto della furtività, ma questo attore di minacce ha prestato particolare attenzione durante la creazione della sua operazione. Questi sforzi renderanno più difficile il rilevamento per i difensori". A quanto pare, LabRat è utilizzato nel contesto di una campagna di cryptojacking e proxyjacking.

In una campagna di cryptojacking, la macchina della vittima viene utilizzata per estrarre segretamente criptovalute per l'aggressore, mentre una campagna di proxyjacking registra silenziosamente le attività della macchina della vittima in una piattaforma di condivisione della larghezza di banda peer-to-peer.

Il team TRT riferisce che il vettore di attacco è una vulnerabilità nota nei server GitLab (CVE-2021-2205) che consente all'attaccante di ottenere l'esecuzione di codice in modalità remota e rilasciare il payload stesso sulla macchina.

Ciò che distingue questa campagna, tuttavia, è lo sforzo che gli autori del malware hanno compiuto per offuscare il loro codice. Inoltre, l'uso del servizio TryCloudFlare rende LabRat ancora più difficile da individuare.

LabRat è un malware realizzato per lavorare nell'ombra

Michael Clark, direttore della ricerca sulle minacce di Sysdig, ha rilasciato un'intervista a The Stack durante cui ha affermato "Esistono notevoli tecniche di crittografia e anti-reverse engineering applicate al malware, che non è stato rilevato da VirusTotal (VT) ed è qualcosa che non vediamo comunemente". Lo stesso ha poi aggiunto come "Anche i binari usati per la persistenza, scritti in Go, non sono stati rilevati in VT, così come i cryptominer".

L'operato dei cybercriminali sembra, sotto diversi punti di vista, essersi concentrato in maniera anomala proprio sulla questione elusività "Questi attori delle minacce sono molto più interessati alla furtività rispetto alla maggior parte perché il tempo equivale a denaro. Più a lungo mantengono il loro accesso ed eseguono il software di proxyjacking e cryptomining, più guadagnano" ha spiegato Clark.

Sysdig afferma che la migliore speranza degli amministratori per contrastare tali attacchi è costituita da un intervento tempestivo. Avere strumenti antivirus di alto livello, mantenuti costantemente aggiornati, sono un ottimo modo per mitigare in maniera sostanziale i rischi.