L’attenzione degli hacker sempre più rivolta ai giochi d’azzardo, principalmente per le redditizie opportunità finanziarie che rappresentano. L’industria del gioco d’azzardo online è un territorio particolarmente remurenativo per gli autori delle minacce che cercano di sfruttare la vulnerabilità di questi siti per ragioni di carattere “economico” e “furto di dati”.
Gli analisti della sicurezza informatica di ASEC, AhnLab SEcurity Intelligence Center, hanno recentemente scoperto che gli hacker si sono prodigati attivamente per la diffusione della minaccia nota come WrnRAT.
ASEC ha recentemente scoperto una sofisticata operazione di malware in cui gli autori delle minacce informatiche hanno creato siti web fuorvianti che offrono popolari giochi d’azzardo coreani come “badugi”, “2-player go-stop” e “hold’em” per distribuire software dannosi.
Quando gli utenti scaricano quello che sembra essere un launcher di gioco, il sistema avvia un “processo di malware multistadio” in cui viene prima eseguito lo script batch (contenente commenti in lingua coreana) viene eseguito, seguito da un “malware basato su .NET” (distribuito sotto nomi di file come “Installer2.exe”, “Installer3.exe” e “installerABAB.exe”) che installa ed esegue il principale payload dannoso noto come “Win”.
Questo dropper funziona creando sia un componente del launcher che il malware WrnRAT stesso, eseguendo WrnRAT tramite il launcher e quindi auto-disperdere per evitare il rilevamento.
La fase finale prevede che WrnRAT si stabilisca nel sistema mascherandosi come “Internet Explorer”, creando un file denominato “iexplorer.exe” per fondersi con i processi di sistema legittimi.
Il malware è stato distribuito anche attraverso le piattaforme HFS, a volte mascherato da software di ottimizzazione del computer, dimostrando così le diverse strategie di distribuzione degli hacker.
Una volta installato con successo, WrnRAT garantisce il controllo da remoto sul sistema infetto e consente di rubare informazioni sensibili dalla macchina compromessa.
WrnRAT è un malware sofisticato che è stato sviluppato utilizzando il “Python programming Language” e confezionato in un file eseguibile tramite “PyInstaller”.
Questo RAT funziona principalmente catturando e condividendo “screenshots” dai computer infetti.
Non solo, “raccoglie informazioni essenziali sul sistema” e ha la capacità di terminare specifici “processi”.
Gli autori del malware hanno ampliato il loro arsenale sviluppando strumenti aggiuntivi che manipolano le “configurazioni firewall” per eludere il rilevamento.
La motivazione principale degli attori della minaccia sembra essere lo “sfruttamento finanziario”.
Mentre monitorano il gameplay delle vittime tramite “screenshot” non autorizzati che portano a significative “condizioni monetarie”, in particolare per gli utenti che si impegnano in “piattaforme di gioco illegali”.
Osservando le “mani dei giocatori”, “scommettere modelli” e “strategie” in tempo reale tramite la funzionalità di cattura dello schermo, gli attori delle minacce possono ottenere vantaggi finanziari o rubare informazioni sensibili.
