Scoperto dagli esperti di sicurezza di Kaspersky, questa backdoor passa inosservata agli occhi di qualunque scanner antivirus.
il gruppo di hacker Platinum è di nuovo in azione e sta facendo girare un nuovo tipo di backdoor estremamente evoluta, chiamata Titanium. La notizia, e il nome Titanium, provengono dai ricercatori di Kaspersky Lab che per primi hanno individuato questa nuova pericolosissima minaccia.
La complessità di Titanium è degna della fama dei suoi creatori: questa backdoor è infatti in grado di nascondersi molto bene, fingendosi un software legittimo o addirittura un drive di sistema, usa una crittografia sofisticata e persino la steganografia (cioè la tecnica usata per nascondere messaggi dentro un’immagine).
In questo modo riesce a nascondersi agli occhi non solo degli utenti, ma anche dei software antivirus, potendo così agire in maniera del tutto indisturbata. Ciò vuol dire che gli hacker possono accedere ai dispositivi infettati senza che nessuno possa accorgersi di quanto sta avvenendo.
Come funziona la backdoor Titanium
“La minaccia Titanium ha uno schema di infiltrazione molto complesso – spiegano i ricercatori di Kaspersky – che passa da numerosi step e richiede una buona coordinazione tra tutti i passaggi. Inoltre, nessuno dei file usati può essere riconosciuto come pericoloso a causa delle tecnologie di crittografia usate e al fatto che si nasconde nella memoria”.
Titanium utilizza diversi metodi per iniziare l’infezione dei suoi obiettivi e diffondersi da un computer all’altro. Il primo metodo è quello di sfruttare una intranet locale che è già stata compromessa con un malware. Un altro vettore è un archivio autoestraente SFX contenente un’attività di installazione di Windows. Un terzo è uno shellcode (cioè un programma scritto in linguaggio assembly, linguaggio di programmazione di basso livello) che viene iniettato nel processo winlogon.exe, anche se non è ancora chiaro come questo accada.
Qualunque sia il modo in cui Titanium riesce a entrare in un dispositivo, le sue potenzialità sono sempre le stesse. Titanium, infatti, può leggere qualsiasi file da un file system e inviarlo a un server controllato dagli hacker, può scaricare ed eseguire un file o eliminarne altri dal file system, eseguire operazioni dalla riga di comando e inviare i risultati al server di controllo e, infine, può anche aggiornare i suoi parametri di configurazione (tranne la chiave di crittografia AES). Detta in parole molto più semplici: se entra Titanium, può fare di tutto e di più ai nostri dati e al nostro computer.
Chi sono gli hacker Platinum….
Fonte: Fastweb
