Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il Remote Access Trojan StrRat torna in Italia. CERT-AgID effettua una analisi

Redazione RHC : 11 Agosto 2024 09:22

Questa settimana il malware StrRat ha nuovamente interessato il territorio italiano. Il CERT-AGID è quindi tornato a studiare il nuovo campione al fine di fornire un rapido strumento di decodifica per gli analisti.

Ricordiamo che StrRat è un Remote Access Trojan (RAT) scritto in Java e progettato principalmente per il furto di informazioni, dotato anche di funzionalità di backdoor.

Utilizza un’architettura a plugin per offrire accesso remoto completo agli aggressori e include funzionalità mirate al furto di credenziali, al keylogging e all’integrazione di plugin aggiuntivi.

Posizione e contenuto del file “config.txt

CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Poiché tutte le informazioni utili relative al C2, alla porta e al URL per il download dei plugin, sono cifrate all’interno del file config.txt a corredo e la decodifica è stata già documentata, il CERT-AgID ha creato una ricetta CyberChef che sfrutta funzioni avanzate per facilitare e accelerare il processo di decodifica.

    Ricetta CyberChef

    Il concetto è semplice: la ricetta prende un input codificato in Base64, lo decodifica in esadecimale, pulisce il testo rimuovendo spazi bianchi, estrae la chiave e IV, deriva una chiave utilizzando PBKDF2 e infine utilizza AES per decrittare i dati rimanenti. Il tutto è basato su una chiave segreta generata a partire dalla password nota “strigoi“.

    Link: Ricetta CyberChef

    Nota: La ricetta è efficace per tutti i campioni di StrRat rilevati negli ultimi 3 anni, poiché sono basati sulla password nota ‘strigoi’. Tuttavia, se la password dovesse cambiare, potrebbe essere necessario aggiornare la ricetta per continuare a garantire la decodifica corretta.”

    Indicatori di Compromissione

    Al fine di rendere pubblici i dettagli del campione analizzato si riportano di seguito gli IoC ricavati:

    Link: Download IoC

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Ma quale attacco Hacker! L’aereo di Ursula Von Der Leyen vittima di Electronic War (EW)
    Di Redazione RHC - 01/09/2025

    Un episodio inquietante di guerra elettronica (Electronic War, EW) ha coinvolto direttamente la presidente della Commissione europea, Ursula von der Leyen. Durante l’avvicinamento all’aeroporto di...

    Falla critica in Linux: scoperta vulnerabilità con CVSS 8.5 nel demone UDisks
    Di Redazione RHC - 01/09/2025

    Una falla critica nella sicurezza del demone Linux UDisks è stata rilevata recentemente, che consente a potenziali malintenzionati senza privilegi di accedere a file appartenenti ad utenti con privil...

    LilyGO T-Embed CC1101 e Bruce Firmware, la community rende possibile lo studio dei Rolling Code
    Di Diego Bentivoglio - 01/09/2025

    La ricerca sulla sicurezza delle radiofrequenze non si ferma mai. Negli ultimi anni abbiamo visto nascere strumenti sempre più accessibili che hanno portato il mondo dell’hacking RF anche fuori dai...

    Stangata da 167 milioni: WhatsApp vince la causa contro NSO e il suo spyware Pegasus
    Di Redazione RHC - 01/09/2025

    In un’importante novità legale è alle porte. Un tribunale statunitense ha ordinato al gruppo NSO, noto produttore di spyware, di pagare 167 milioni di dollari a WhatsApp. Questa sentenza è la con...

    Esce DarkMirror H1 2025. Il report sulla minaccia Ransomware di Dark Lab
    Di Redazione RHC - 01/09/2025

    Il ransomware continua a rappresentare una delle minacce più pervasive e dannose nel panorama della cybersecurity globale. Nel consueto report “DarkMirror” realizzato dal laboratorio di intellige...