È venuto fuori un nuovo virus informatico molto pericoloso e che non tutti noi conosciamo, ma che potrebbe rivelarsi essere dannoso in caso non venisse visto in tempo. Di quale malware stiamo parlando esattamente? 
Gli informatici di Malwarebytes Threat Intelligence hanno scoperto e analizzato un nuovo malware personalizzato, e che prende il nome di Woody RAT. Da ciò che è emerso sappiamo che RAT, acronimo Remote Access Tool, è stato progettato da uno o più hacker i cui attacchi sono rivolti a soggetti prevalentemente russi.
Per permettere al virus di diffondersi è previsto l’uso di un file-esca in formato archivio e, a quanto pare, pur Documenti Office, grazie ai quali sfruttano la vulnerabilità “Follina” in poche parole. Hanno scoperto anche che abbia avuto luogo un tentativo di attacco nei confronti di un ente operativo nei settori aerospaziale e difesa noto come OAK, sempre di nazionalità russa per una coincidenza bizzarra.
Gli elementi che caratterizzano Woody RAT
Ma Woody RAT non si limita a fare soltanto quello che abbiamo detto: essendo un malware molto avanzato rispetto agli altri, utilizza anche altre funzionalità per l’elusione del monitoraggio di rete sfruttando la crittografia dei dati per le richieste HTTP al server C2. Tra l’altro, grazie a degli endpoint, il malware invia al server C2 una serie di informazioni che includono gli antivirus installati, la versione build del sistema operativo, dati sulle unità di archiviazione, interfacce di rete e un elenco di tutti gli account utente.
Come se non fosse sufficiente i comandi dei quali fa uso sono davvero tanti, e tutti quanti consentono alla possibilità di caricare file nella macchina infetta, eseguire azioni inviate dal server C2 attraverso la creazione di un processo cmd.exe, eliminare file o effettuare screenshot del desktop. Nel momento in cui ha finito il suo lavoro, si auto-elimina dal disco e scompare misteriosamente.
Non potendo riportare tutte le sue impostazioni sappiate soltanto che questo che sia in grado di fare non ha limitazioni. Oltre ad essere davvero complesso, in base alle ricerche effettuate è possibile che Woody RAT – in realtà – circoli da almeno un anno. Comunque la società ha già bloccato già l’exploit Follina sfruttato nell’ultima campagna in cui è stato impiegato il malware, inoltre sembra che i payload binari siano già stati individuati.
? Fonte: www.tomshw.it
