MILANO – I ricercatori di Kaspersky hanno scoperto una campagna di cyber-spionaggio condotta da anni ai danni degli utenti di lingua persiana in Iran. Il gruppo dietro l’attività malevola, conosciuto come Ferocious Kitten, è attivo almeno dal 2015 e distribuisce un malware personalizzato chiamato “MarkiRAT” in grado di esfiltrare dati ed eseguire comandi sul dispositivo della vittima. Il malware ha anche varianti che possono hackerare il browser Chrome dell’utente infetto e la sua app Telegram.
Nel marzo di quest’anno, un documento sospetto è stato caricato su VirusTotal e successivamente divulgato tramite un post su Twitter. I ricercatori di Kaspersky hanno pertanto deciso di condurre ulteriori indagini e hanno scoperto una campagna di sorveglianza in atto da 6 anni ai danni degli utenti di lingua persiana in Iran. I ricercatori hanno denominato l’attore dietro la campagna “Ferocious Kitten”.
Ferocious Kitten, un gruppo attivo almeno dal 2015, utilizza dei documenti-esca contenenti macro dannose per prendere di mira le sue vittime. All’apparenza, questi documenti si presentano come video o immagini contro il regime iraniano (proteste o filmati dei campi di resistenza). I messaggi iniziali contenuti nei documenti esca spingono l’utente ad abilitare la riproduzione dei video e delle immagini allegate. Se la vittima riproduce il contenuto del file-esca sullo schermo, sul sistema preso di mira vengono rilasciati questi eseguibili malevoli.
Gli eseguibili rilasciano il principale payload malevolo, un malware personalizzato noto come “MarkiRAT”. Una volta scaricato sul sistema infetto, MarkiRAT avvia un keylogger per copiare tutto il contenuto degli appunti e per registrare le sequenze di tasti digitati. MarkiRAT fornisce agli attaccanti anche funzionalità di download e upload di file e dà loro la possibilità di eseguire comandi arbitrari sul dispositivo infetto.
I ricercatori di Kaspersky hanno scoperto diverse varianti di MarkiRAT. Una versione è in grado di intercettare l’esecuzione di Telegram e lanciare il malware insieme all’applicazione. In questo caso, MarkiRAT cerca il repository di dati interni di Telegram nel dispositivo infetto e crea una copia di sé stesso. Successivamente, modifica il collegamento utilizzato per aprire Telegram ed eseguire il repository modificato insieme all’applicazione stessa.
Un’altra variante modifica il collegamento del browser Chrome del dispositivo, operando in modo simile alla variante che prende di mira Telegram. A ogni avvio di Chrome, vengono contemporaneamente eseguiti l’applicazione reale e il payload di MarkiRAT. Una terza variante è una versione backdoored di Psiphon, uno strumento VPN open source spesso utilizzato per aggirare la censura di Internet. Nonostante i ricercatori non siano stati in grado di ottenere alcun campione specifico per l’analisi, Kaspersky ha constatato che gli autori della minaccia hanno sviluppato impianti dannosi che prendono di mira i dispositivi Android.
Questa campagna sembra essere indirizzata agli utenti di lingua persiana situati in Iran. Il contenuto dei documenti usati come esca suggerisce che gli attaccanti mirino a colpire i sostenitori dei movimenti di protesta all’interno del Paese.
“Nonostante il malware MarkiRAT e il suo set di strumenti non siano particolarmente sofisticati, è interessante che il gruppo abbia creato varianti specifiche per Chrome e Telegram. Ciò lascia intendere che gli autori della minaccia preferiscano adattare il loro set di strumenti esistenti agli ambienti presi di mira, piuttosto che apportarvi nuove caratteristiche e funzionalità. È anche molto probabile che il gruppo stia conducendo diverse campagne mirate ai danni di diverse piattaforme”, ha dichiarato Mark Lechtik, Senior Security Researcher del Global Research and Analysis Team (GReAT).
“Abbiamo rilevato anche una variante più recente che utilizza un downloader invece di un payload incorporato. Da questo possiamo dedurre che il gruppo sia ancora molto attivo e potrebbe essere in procinto di modificare le proprie tattiche, tecniche e procedure (TTP)”, ha aggiunto Paul Rascagneres, Senior Security Researcher di GReAT.
“Il profilo delle vittime e le TTP di Ferocious Kitten sono simili a quelle di altri cybercriminali della regione, ovvero Domestic Kitten e Rampant Kitten. Insieme, formano un più ampio ecosistema di campagne di sorveglianza in Iran. Questi tipi di threat group non vengono analizzati di frequente, il che permette loro di evitare il rilevamento per lunghi periodi di tempo e rende più facile riutilizzare le loro infrastrutture e set di strumenti”, ha concluso Aseel Kayal, Security Researcher di GReAT.
Per proteggere i dipendenti aziendali da APT come Ferocious Kitten, gli esperti di Kaspersky raccomandano di:
- Prestare attenzione alle e-mail o ai messaggi sospetti ed essere sempre consapevoli delle protezioni della privacy all’interno di tutte le app e i servizi utilizzati
- Non cliccare su nessun link ricevuto da mittenti sconosciuti e non aprire nessun file o allegato sospetto
- Installare sempre gli aggiornamenti. Alcuni di essi possono contenere correzioni a problemi critici di sicurezza.
· Utilizzare una soluzione di sicurezza affidabile e adatta al tipo di sistema e ai dispositivi in uso, come Kaspersky Internet Security o Kaspersky Security Cloud.