Malware a doppio taglio: Gh0st RAT e CloverPlus lanciano un assalto coordinato agli utenti Windows

Tutto inizia con un clic: un file apparentemente innocuo che, in silenzio, spalanca la porta a un incubo. Nel giro di pochi minuti, la macchina della vittima diventa al tempo stesso una mucca da mungere e un avamposto clandestino per i cybercriminali. L’ultima campagna analizzata dai ricercatori di sicurezza rivela una tendenza inquietante: la fusione di strumenti di spionaggio a lungo termine con adware a profitto immediato, un uno-due che sta cogliendo di sorpresa persino i difensori più esperti.

Malware in tandem: come si sviluppa l’attacco

L’attacco inizia con un loader che nasconde due payload cifrati in profondità nella propria sezione delle risorse. Il primo: AdWare.Win32.CloverPlus, un classico adware che dirotta i browser, altera il comportamento all’avvio e scatena una raffica di pop-up - generando clic fraudolenti e ricavi per gli attaccanti.

Ma la vera minaccia risiede nel secondo payload: una variante di Gh0st RAT. Una volta che il loader verifica di essere in esecuzione dalla directory temporanea del sistema (per eludere un rilevamento di base), decifra e distribuisce il RAT, sfruttando il legittimo processo Windows rundll32.exe per confondersi con l’attività normale.

Gh0st RAT: furtività, spionaggio e sabotaggio

Gh0st RAT è noto per la sua furtività e versatilità. Questa variante manipola i token di accesso per ottenere privilegi elevati, consentendole di curiosare in altri processi e rubare dati sensibili. Mappa l’ambiente dell’utente, individua le impostazioni di rete e arriva persino a dirottare i processi DNS per bloccare gli aggiornamenti dell’antivirus - accecandone di fatto i difensori.

Per evitare le sandbox in macchine virtuali e ingannare gli analisti, il malware verifica la presenza di artefatti VMware e, se rilevati, recupera il proprio indirizzo di command-and-control da un post di blog nascosto, usando traffico web legittimo come copertura. Una tecnica ingegnosa di “ping sleep” ritarda l’esecuzione, scivolando oltre i timeout delle sandbox progettati per intercettare attività malevole di breve durata.

Persistenza e furto di credenziali

Gh0st RAT si assicura di sopravvivere ai riavvii inserendosi nelle chiavi di avvio e nei servizi di Windows, arrivando persino a mascherarsi da legittimo servizio di Accesso remoto. Profila il sistema, raccogliendo dettagli hardware per il tracciamento, e monitora le sessioni di Desktop remoto - catturando sequenze di tasti e credenziali di accesso per ulteriori sfruttamenti e movimenti laterali all’interno delle reti.

Difendersi da una doppia minaccia

Ai team di sicurezza si raccomanda di monitorare attività insolite di rundll32.exe, comandi batch che usano ping come sleep e modifiche sospette al registro. Correlando questi segnali, i difensori possono individuare sia i tentativi di monetizzazione dell’adware sia l’appoggio silenzioso del RAT. Analisi comportamentale continua e monitoraggio degli endpoint sono ormai essenziali per interrompere attacchi così sofisticati e stratificati prima che si radichino.

Conclusione

Questa campagna a doppio binario è un duro promemoria: gli attaccanti di oggi non puntano solo a profitti rapidi o ai dati - li vogliono entrambi, e stanno diventando più intelligenti nel farlo. Per i difensori, vigilanza e rilevamento comportamentale a più livelli sono le uniche vere risposte a un malware che indossa due volti contemporaneamente. Il confine tra fastidio e disastro non è mai stato così sottile.

TECHCROOK

Bitdefender Total Security è una suite di protezione per Windows adatta a contrastare scenari come la campagna descritta, dove convivono RAT e adware. Integra difesa in tempo reale con analisi comportamentale per intercettare attività anomale (esecuzioni sospette di rundll32.exe, persistenza su registro/servizi, modifiche di rete e DNS) e bloccare tentativi di esfiltrazione o controllo remoto. Include moduli anti-phishing e protezione web utili contro download iniziali e dirottamenti del browser tipici dell’adware, oltre a funzioni di remediation per ripristinare impostazioni alterate. È indicato per utenti domestici che vogliono un approccio “multi-layer” sugli endpoint senza gestione complessa. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Trojan di accesso remoto (RAT): Un Trojan di accesso remoto (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furto e spionaggio.
• Loader offuscato: Un loader offuscato è un programma che nasconde i payload del malware, usando tecniche per eludere rilevamento e analisi durante la fase iniziale dell’infezione.
• Living: Living off the Land significa che gli attaccanti usano strumenti di sistema affidabili (LOLBins) per azioni malevole, rendendo le loro attività furtive e difficili da rilevare.
• Meccanismo di persistenza: Un meccanismo di persistenza è un metodo usato dal malware per restare attivo su un sistema, sopravvivendo ai riavvii e ai tentativi di rimozione da parte degli utenti o degli strumenti di sicurezza.
• Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo indirizza a eseguire azioni specifiche, talvolta per scopi malevoli.