17 novembre 2016

Sono rari i programmi malevoli studiati per attacchi specifici o, come vengono anche chiamati, attacchi mirati. Nel 2011 Doctor Web avvertiva della diffusione del trojan BackDoor.Dande che rubava informazioni alle farmacie e aziende farmaceutiche. Dopo quattro anni venne scoperto il trojan BackDoor.Hser.1 che attaccava aziende della difesa. A novembre 2016 gli specialisti Doctor Web hanno studiato un backdoor mirato alle imprese russe che si occupano delle gru edili.

Gli intrusi hanno utilizzato il trojan Windows, denominato BackDoor.Crane.1, per un attacco mirato a due maggiori imprese russe che si occupano della fabbricazione delle gru e gru a portale e inoltre delle attrezzature connesse. È uno dei pochi casi degli attacchi mirati con utilizzo di software malevoli, registrati ultimamente dagli specialisti Doctor Web. Gli analisti Doctor Web hanno accertato che questo backdoor e gli altri due programmi malevoli che lui caricava sulle macchine infette rubavano durante un determinato tempo informazioni confidenziali dai computer infetti. Il principale bersaglio degli intrusi sono stati i documenti, i contratti e la corrispondenza commerciale dei dipendenti. Inoltre, i trojan ad intervalli regolari catturavano schermate sui PC infetti e le inviavano su un server di controllo dei malintenzionati. Questi fatti consentono di presumere che i produttori russi di gru edili siano rimasti vittime della concorrenza sleale.

Di seguito vediamo brevemente gli aspetti tecnici dell'operazione di BackDoor.Crane.1.

Gli analisti hanno trovato nelle risorse del trojan la finestra "Sul progetto Bot" che non viene visualizzata sullo schermo ad operazione del malware — probabilmente, gli autori del virus si sono dimenticati di rimuoverla dopo aver assimilato il codice originale. Contiene la stringa "Copyright © 2015", però la versione corrente del backdoor è stata compilata dagli autori il 21 aprile 2016.

Dopo l'avvio il trojan verifica la disponibilità del suo file di configurazione sul disco del computer attaccato e se non è disponibile, lo crea. Quindi BackDoor.Crane.1 carica in memori della macchina infetta i propri moduli e comincia a contattare a determinati intervalli il server di gestione per ricevere task. È interessante notare che nel corso degli scambi delle informazioni con il centro di comando il trojan utilizza la stringa "RSDN HTTP Reader" come il valore del parametro User-Agent — su questa base si può concludere che gli autori hanno copiato frammenti di codice dal sito per gli sviluppatori dei software rsdn.org.

BackDoor.Crane.1 possiede diversi moduli che possono essere installati su comando dei malintenzionati. Ciascuno ha uno specifico obiettivo. Tra cui:

• eseguire un comando trasmesso dal server di controllo, utilizzando la shell cmd;
• scaricare un file da un link indicato e salvarlo in una cartella indicata sul computer infetto;
• compilare un elenco dei contenuti di una directory indicata e trasmetterlo sul server di controllo;
• catturare una schermata e trasmetterla sul server di controllo;
• caricare un file attraverso il protocollo FTP su un server indicato;
• caricare un file attraverso il protocollo HTTP su un server indicato.

Gli specialisti Doctor Web hanno scoperto che alcuni moduli di BackDoor.Crane.1 scaricavano e installavano sui computer infetti due trojan scritti in Python, che sono stati aggiunti ai database dei virus Dr.Web sotto i nomi Python.BackDoor.Crane.1 e Python.BackDoor.Crane.2. Il primo, Python.BackDoor.Crane.1 si scambia informazioni con il server di controllo attraverso il protocollo HTTP e può eseguire un set di comandi quasi uguale a quello di BackDoor.Crane.1. Le nuove funzionalità:

• ottenere una lista dei file e delle cartelle in un percorso indicato;
• rimuovere file indicati;
• terminare processi indicati;
• copiare file indicati;
• trasmettere sul server di controllo la lista dei processi in esecuzione, le informazioni sul sistema operativo e sui dischi del PC infetto;
• terminare il proprio funzionamento.

Il secondo programma malevolo — Python.BackDoor.Crane.2 — è studiato per eseguire sul computer infetto uno shellcode ricevuto dal server di controllo.

Le firme antivirali di questi programmi malevoli sono state aggiunte ai database dei virus Dr.Web perciò non rappresentano alcun pericolo per i nostri utenti.

Informazioni sul trojan