Malware LodaRAT, il trojan bancario infetta sistemi Windows e Android

Una campagna malspam in corso distribuirebbe una variante del malware LodaRAT capace di infettare non solo sistemi operativi Windows ma anche dispositivi Android. Lo rendono noto i ricercatori di Cisco Talos sul loro blog.

Da quanto si apprende gli attori della minaccia, nascosti dietro LodaRAT, probabilmente afferenti (come sviluppatori e/o operatori) al gruppo criminale Kasablanca starebbero conducendo campagne mirate ibride e multipiattaforma mettendo in repentaglio, con una nuova iterazione, la sicurezza e la privacy di target specifici in Bangladesh. Insieme ad una variante Android nella stessa campagna sarebbe stata individuata anche una versione aggiornata di LodaRAT per Windows.

La campagna in Bangladesh

LodaRAT, scoperto per la prima volta nel 2016, nasce come trojan di accesso remoto (RAT) con varie funzionalità per captare registrazioni audio/video e rubare informazioni bancarie.

Però, nella campagna in Bangladesh (iniziata a ottobre 2020 e ancora in atto), i ricercatori hanno costatato un particolare interesse degli attaccanti alla raccolta d’informazioni e ad attività di spionaggio piuttosto che all’ottenimento di un guadagno diretto finanziario, mettendo sotto tiro varie organizzazioni, comprese banche e fornitori di software VoIP carrier-grade.

Secondo gli esperti, per la distribuzione dei dropper del malware multipiattaforma sarebbe stato impiegato l’invio massivo di e-mail con collegamenti ad app o documenti/software dannosi e l’utilizzo di tecniche “typosquatting” con riferimenti a nomi di domini e di file collegati a prodotti/servizi delle stesse vittime.

In particolare per scaricare il payload LodaRAT su sistemi Windows, gli attaccanti hanno utilizzato documenti malevoli con estensione .RTF, sfruttando una vulnerabilità classificata come CVE-2017-11882 e che riguarda l’esecuzione di codice remoto per mezzo di documenti Microsoft Office.

La variante LodaRAT4Android

La versione Android del malware LodaRAT, battezzata con il nome di “Loda4Android”, presenta tutti i comandi tipici di un trojan bancario allestito ad hoc per i sistemi del robottino verde. Il malware che possiede anche un kit integrato di phishing per Facebook può registrare la posizione degli utenti, l’audio dell’ambiente, scattare foto e screenshot. Può, inoltre, inviare e leggere SMS, effettuare chiamate a numeri specifici, leggendo il registro delle chiamate da memoria ed esfiltrare contatti. Pur tuttavia, specificano i ricercatori, questa variante non è in grado di intercettare messaggi SMS e telefonate. Infine, l’impiego di un protocollo comunicazione di comando e controllo C2 (con lo stesso modello di progettazione previsto nella versione Windows) e la capacità di eseguire una vasta gamma di ulteriori comandi e script rendono Loda4Android abbastanza flessibile. 

La nuova versione per Windows

La nuova versione di LodaRAT destinata ai sistemi Windows è la versione 1.1.8, informazione di cui i ricercatori hanno trovato evidenze revisionando il codice malware di un campione. Sebbene questa variante sia per lo più uguale alle versioni precedenti, sono stati aggiunti nuovi comandi che ne estendono alcune capacità. La struttura presenta:

  • Un’utilità di rete denominata “nx.exe” che consente l’accesso remoto al computer di destinazione tramite protocollo RDP (Remote Desktop Protocol) e porta standard 3389. Tale accesso è reso possibile cambiando, preventivamente, alcune impostazioni di sicurezza di Windows su alcune voci di registro e sul firewall predefinito; 
  • un comando denominato SOUND che, sfruttando una libreria audio BASS “bacb.dll”, consente di catturare l’audio via microfono, senza utilizzare il registratore di suoni integrato di Windows, meno performante in termini di tempi di registrazione massimi consentiti.

In conclusione

Senza dubbio, la campagna rilevata riflette un cambiamento generale nelle strategie di attacco da parte degli sviluppatori e delle relative affiliazioni di LodaRAT.

È ragionevole pensare che, molto probabilmente, tali attori di minaccia, implementando con funzionalità aggiuntive un malware multipiattaforma di questo tipo e puntando su attività di spying piuttosto che su obiettivi prettamente finanziari, abbiano in mente di espandere, in futuro, il proprio bacino d’azione aumentando con esso anche i relativi livelli di rischio per aziende e privati.  

Articolo di Salvatore Lombardo, ICT Expert & Information Security contributor