Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Analisi del malware FK_Undead: una minaccia avanzata per Windows

Sandro Sana : 16 Dicembre 2024 07:19

Nel panorama delle minacce informatiche contemporanee, il malware FK_Undead rappresenta un esempio sofisticato e preoccupante di come gli attori malevoli siano in grado di combinare tecniche avanzate di evasione, persistenza e manipolazione del traffico di rete. Recenti analisi pubblicate da G DATA hanno portato alla luce un rootkit loader di nuova generazione appartenente alla famiglia FK_Undead, il quale sfrutta caratteristiche avanzate per infiltrarsi nei sistemi Windows, rimanere nascosto e manipolare il traffico di rete degli utenti a proprio vantaggio.

Indice dei contenuti nascondi
1. Funzionamento del rootkit loader FK_Undead
2. Infrastruttura e indicatori di compromissione (IoC)
3. Tecniche di evasione e occultamento
4. Implicazioni per la sicurezza aziendale e individuale
5. Strategie di protezione e mitigazione

Funzionamento del rootkit loader FK_Undead

Il processo di infezione di FK_Undead è caratterizzato da una sequenza ben strutturata di passaggi che garantiscono al malware un’alta capacità di elusione e di persistenza nel sistema compromesso. Vediamo in dettaglio come si articola questa catena di infezione:

  1. Caricamento iniziale e firma digitale legittima:
    Il malware si presenta come un loader firmato con un certificato Microsoft valido. Questa caratteristica è particolarmente subdola, poiché consente al codice malevolo di aggirare molti controlli di sicurezza basati sull’autenticità delle firme digitali. La presenza di una firma valida facilita l’esecuzione del malware senza destare sospetti, permettendo al rootkit di essere eseguito come un servizio di sistema con privilegi elevati.
  2. Persistenza come servizio di sistema:
    Una volta eseguito, il loader si installa come un servizio di sistema, garantendosi la possibilità di eseguirsi automaticamente ad ogni avvio del computer. Questo meccanismo di persistenza rende estremamente difficile rimuovere il malware con una semplice scansione antivirus o con un riavvio del sistema.
  3. Download e decrittazione del payload:
    Il loader è programmato per connettersi a specifici URL al fine di scaricare un payload cifrato. La tecnica utilizzata per ottenere questi URL è conosciuta come “deaddrop”: una metodologia che permette agli attaccanti di mantenere nascosti gli indirizzi reali dai quali viene distribuito il payload. Una volta scaricato, il payload viene decriptato localmente e preparato per l’installazione.
  4. Installazione del driver kernel protetto:
    Il payload scaricato consiste in un driver kernel firmato e protetto con VMProtect, un software di protezione che rende difficile l’analisi e il reverse engineering del codice. L’uso di VMProtect assicura che anche gli analisti di sicurezza più esperti incontrino notevoli difficoltà nel decifrare il funzionamento interno del malware.
  5. Controlli anti-sicurezza e anti-virtualizzazione:
    Prima di procedere con l’esecuzione del payload, il rootkit esegue una serie di controlli avanzati per verificare la presenza di software di sicurezza, ambienti virtuali (come sandbox) o strumenti di analisi. Se il malware rileva uno di questi elementi, può interrompere la propria esecuzione o modificare il proprio comportamento per evitare di essere scoperto.
  6. Manipolazione del traffico di rete:
    Una delle caratteristiche più pericolose di FK_Undead è la capacità di intercettare e manipolare il traffico di rete dell’utente attraverso la gestione di proxy compromessi. Questo permette agli attaccanti di esfiltrare dati sensibili, intercettare comunicazioni riservate o reindirizzare il traffico verso server controllati dai criminali informatici.

Infrastruttura e indicatori di compromissione (IoC)

L’immagine allegata fornisce una rappresentazione visiva della complessa infrastruttura di comando e controllo (C2) utilizzata da FK_Undead. Alcuni degli elementi chiave emersi dall’analisi includono:

  • Nomi di dominio malevoli:
    Tra i domini utilizzati per distribuire il payload e per comunicare con il malware figurano nomi come:
    • tjxgood.com
    • tjxupdates.com
    • microsoftdns2.com
    Questi nomi sono stati scelti con cura per somigliare a domini legittimi, rendendo più difficile per gli utenti e i sistemi di sicurezza individuare l’attività sospetta.
  • Indirizzi IP associati:
    L’indirizzo 101.37.76.254 è uno dei principali indicatori di compromissione collegati alla distribuzione del payload. Questo IP è utilizzato per ospitare file malevoli e per orchestrare le comunicazioni tra il rootkit e i server di comando e controllo.
  • Hash dei file:
    L’analisi ha identificato diversi hash di file malevoli che possono essere utilizzati per rilevare la presenza di FK_Undead nei sistemi. Ad esempio:
    • 10d8591dd18e061febabe0384dc6e4516b7e7e54be87e0ac3e211f698b0c2
    • adf0bed4734b416c0c959e0965d9a9726b9ea2b9c8864e2050375fe61a1b

Tecniche di evasione e occultamento

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

FK_Undead implementa una serie di tecniche di evasione avanzate che lo rendono particolarmente difficile da rilevare e rimuovere:

  • Offuscamento del codice tramite VMProtect per rendere arduo il reverse engineering.
  • Routine di notifica del kernel che permettono di nascondere processi e file dal sistema operativo e dai software di sicurezza.
  • Controlli di integrità e di ambiente per evitare di eseguire il malware su macchine virtuali o ambienti di analisi automatizzata.

Implicazioni per la sicurezza aziendale e individuale

La presenza di FK_Undead su un sistema rappresenta una grave minaccia sia per gli utenti privati che per le aziende. Le possibili conseguenze includono:

  • Furto di dati riservati: Informazioni sensibili come credenziali, documenti aziendali e dati finanziari possono essere sottratti e utilizzati per scopi fraudolenti.
  • Intercettazione di comunicazioni: Manipolando il traffico di rete, gli attaccanti possono spiare le comunicazioni aziendali o personali.
  • Compromissione della rete aziendale: Un sistema infetto può fungere da punto di ingresso per ulteriori attacchi all’infrastruttura IT aziendale.

Strategie di protezione e mitigazione

Per proteggersi da FK_Undead e da altre minacce avanzate, è essenziale adottare una serie di misure di sicurezza:

  1. Aggiornamento costante del software: Installare regolarmente aggiornamenti di sicurezza per sistemi operativi e applicazioni.
  2. Monitoraggio continuo della rete: Utilizzare soluzioni di Threat Detection per identificare comportamenti anomali nel traffico di rete.
  3. Controllo delle firme digitali: Verificare l’autenticità dei certificati digitali e segnalare eventuali anomalie.
  4. Segmentazione della rete: Limitare l’accesso alle risorse critiche per ridurre il rischio di diffusione del malware.
  5. Formazione del personale: Educare gli utenti sui rischi legati a download sospetti e phishing.

L’analisi di FK_Undead da parte di G DATA e i dati ricavati dalla piattaforma di Threat Intelligence evidenziano un’evoluzione significativa nelle capacità dei malware moderni. La combinazione di tecniche avanzate di evasione, persistenza e manipolazione del traffico richiede un approccio proattivo alla sicurezza informatica. Le aziende e gli utenti devono adottare misure preventive e mantenere alta l’attenzione per difendersi da queste minacce sempre più sofisticate.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Arriva PathWiper! Il nuovo malware che devasta le infrastrutture critiche in Ucraina

Gli analisti di Cisco Talos hanno segnalato che le infrastrutture critiche in Ucraina sono state attaccate da un nuovo malware che distrugge i dati chiamato PathWiper. I ricercatori scrivono...

Claude Opus 4: l’intelligenza artificiale che vuole vivere e ha imparato a ricattare

“Se mi spegnete, racconterò a tutti della vostra relazione”, avevamo riportato in un precedente articolo. E’ vero le intelligenze artificiali sono forme di comunicazione basa...

Rilasciato un PoC su GitHub per la vulnerabilità critica RCE nei prodotti Fortinet

Negli ultimi giorni è stato pubblicato su GitHub un proof-of-concept (PoC) per il bug di sicurezza monitorato con il codice CVE-2025-32756, una vulnerabilità critica che interessa diversi pr...

Federazione Russa: 8 Anni di Carcere per un attacco DDoS! La nuova Legge Shock in Arrivo

Secondo quanto riportato dai media, il governo russo ha preparato degli emendamenti al Codice penale, introducendo la responsabilità per gli attacchi DDoS: la pena massima potrebbe includere una ...

Mancano 6 giorni alla quinta Live Class di Red Hot Cyber: “Dark Web & Cyber Threat Intelligence”

La quinta edizione della Live Class “Dark Web & Cyber Threat Intelligence”, uno tra i corsi più apprezzati realizzati da Red Hot Cyber è ormai alle porte: mancano solo 6 giorni...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006