Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Analisi del malware FK_Undead: una minaccia avanzata per Windows

Sandro Sana : 16 Dicembre 2024 07:19

Nel panorama delle minacce informatiche contemporanee, il malware FK_Undead rappresenta un esempio sofisticato e preoccupante di come gli attori malevoli siano in grado di combinare tecniche avanzate di evasione, persistenza e manipolazione del traffico di rete. Recenti analisi pubblicate da G DATA hanno portato alla luce un rootkit loader di nuova generazione appartenente alla famiglia FK_Undead, il quale sfrutta caratteristiche avanzate per infiltrarsi nei sistemi Windows, rimanere nascosto e manipolare il traffico di rete degli utenti a proprio vantaggio.

Funzionamento del rootkit loader FK_Undead

Il processo di infezione di FK_Undead è caratterizzato da una sequenza ben strutturata di passaggi che garantiscono al malware un’alta capacità di elusione e di persistenza nel sistema compromesso. Vediamo in dettaglio come si articola questa catena di infezione:

  1. Caricamento iniziale e firma digitale legittima:
    Il malware si presenta come un loader firmato con un certificato Microsoft valido. Questa caratteristica è particolarmente subdola, poiché consente al codice malevolo di aggirare molti controlli di sicurezza basati sull’autenticità delle firme digitali. La presenza di una firma valida facilita l’esecuzione del malware senza destare sospetti, permettendo al rootkit di essere eseguito come un servizio di sistema con privilegi elevati.
  2. Persistenza come servizio di sistema:
    Una volta eseguito, il loader si installa come un servizio di sistema, garantendosi la possibilità di eseguirsi automaticamente ad ogni avvio del computer. Questo meccanismo di persistenza rende estremamente difficile rimuovere il malware con una semplice scansione antivirus o con un riavvio del sistema.
  3. Download e decrittazione del payload:
    Il loader è programmato per connettersi a specifici URL al fine di scaricare un payload cifrato. La tecnica utilizzata per ottenere questi URL è conosciuta come “deaddrop”: una metodologia che permette agli attaccanti di mantenere nascosti gli indirizzi reali dai quali viene distribuito il payload. Una volta scaricato, il payload viene decriptato localmente e preparato per l’installazione.
  4. Installazione del driver kernel protetto:
    Il payload scaricato consiste in un driver kernel firmato e protetto con VMProtect, un software di protezione che rende difficile l’analisi e il reverse engineering del codice. L’uso di VMProtect assicura che anche gli analisti di sicurezza più esperti incontrino notevoli difficoltà nel decifrare il funzionamento interno del malware.
  5. Controlli anti-sicurezza e anti-virtualizzazione:
    Prima di procedere con l’esecuzione del payload, il rootkit esegue una serie di controlli avanzati per verificare la presenza di software di sicurezza, ambienti virtuali (come sandbox) o strumenti di analisi. Se il malware rileva uno di questi elementi, può interrompere la propria esecuzione o modificare il proprio comportamento per evitare di essere scoperto.
  6. Manipolazione del traffico di rete:
    Una delle caratteristiche più pericolose di FK_Undead è la capacità di intercettare e manipolare il traffico di rete dell’utente attraverso la gestione di proxy compromessi. Questo permette agli attaccanti di esfiltrare dati sensibili, intercettare comunicazioni riservate o reindirizzare il traffico verso server controllati dai criminali informatici.

Infrastruttura e indicatori di compromissione (IoC)

L’immagine allegata fornisce una rappresentazione visiva della complessa infrastruttura di comando e controllo (C2) utilizzata da FK_Undead. Alcuni degli elementi chiave emersi dall’analisi includono:

  • Nomi di dominio malevoli:
    Tra i domini utilizzati per distribuire il payload e per comunicare con il malware figurano nomi come:
    • tjxgood.com
    • tjxupdates.com
    • microsoftdns2.com
    Questi nomi sono stati scelti con cura per somigliare a domini legittimi, rendendo più difficile per gli utenti e i sistemi di sicurezza individuare l’attività sospetta.
  • Indirizzi IP associati:
    L’indirizzo 101.37.76.254 è uno dei principali indicatori di compromissione collegati alla distribuzione del payload. Questo IP è utilizzato per ospitare file malevoli e per orchestrare le comunicazioni tra il rootkit e i server di comando e controllo.
  • Hash dei file:
    L’analisi ha identificato diversi hash di file malevoli che possono essere utilizzati per rilevare la presenza di FK_Undead nei sistemi. Ad esempio:
    • 10d8591dd18e061febabe0384dc6e4516b7e7e54be87e0ac3e211f698b0c2
    • adf0bed4734b416c0c959e0965d9a9726b9ea2b9c8864e2050375fe61a1b

Tecniche di evasione e occultamento


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


FK_Undead implementa una serie di tecniche di evasione avanzate che lo rendono particolarmente difficile da rilevare e rimuovere:

  • Offuscamento del codice tramite VMProtect per rendere arduo il reverse engineering.
  • Routine di notifica del kernel che permettono di nascondere processi e file dal sistema operativo e dai software di sicurezza.
  • Controlli di integrità e di ambiente per evitare di eseguire il malware su macchine virtuali o ambienti di analisi automatizzata.

Implicazioni per la sicurezza aziendale e individuale

La presenza di FK_Undead su un sistema rappresenta una grave minaccia sia per gli utenti privati che per le aziende. Le possibili conseguenze includono:

  • Furto di dati riservati: Informazioni sensibili come credenziali, documenti aziendali e dati finanziari possono essere sottratti e utilizzati per scopi fraudolenti.
  • Intercettazione di comunicazioni: Manipolando il traffico di rete, gli attaccanti possono spiare le comunicazioni aziendali o personali.
  • Compromissione della rete aziendale: Un sistema infetto può fungere da punto di ingresso per ulteriori attacchi all’infrastruttura IT aziendale.

Strategie di protezione e mitigazione

Per proteggersi da FK_Undead e da altre minacce avanzate, è essenziale adottare una serie di misure di sicurezza:

  1. Aggiornamento costante del software: Installare regolarmente aggiornamenti di sicurezza per sistemi operativi e applicazioni.
  2. Monitoraggio continuo della rete: Utilizzare soluzioni di Threat Detection per identificare comportamenti anomali nel traffico di rete.
  3. Controllo delle firme digitali: Verificare l’autenticità dei certificati digitali e segnalare eventuali anomalie.
  4. Segmentazione della rete: Limitare l’accesso alle risorse critiche per ridurre il rischio di diffusione del malware.
  5. Formazione del personale: Educare gli utenti sui rischi legati a download sospetti e phishing.

L’analisi di FK_Undead da parte di G DATA e i dati ricavati dalla piattaforma di Threat Intelligence evidenziano un’evoluzione significativa nelle capacità dei malware moderni. La combinazione di tecniche avanzate di evasione, persistenza e manipolazione del traffico richiede un approccio proattivo alla sicurezza informatica. Le aziende e gli utenti devono adottare misure preventive e mantenere alta l’attenzione per difendersi da queste minacce sempre più sofisticate.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...