Ricardo Nardini : 8 Maggio 2024 07:32
Una variante del malware PlugX che si riteneva “morta”, in realtà, molto silente godeva di ottima salute infettando migliaia di computer. In tre mesi sono state registrate due milioni e mezzo di richieste IP univoche, il che significa che c’è in atto una infezione in corso.
Nel 2020 un gruppo di criminali informatici asiatici ha attivato una variante del noto malware PlugX. Questo malware è stato progettato per diffondersi attraverso unità USB e infettando reti interne aziendali e domestiche, rubando documenti.
A metà dell’anno 2023 i creatori di questo malware worm sono scomparsi dalla scena e per ragioni sconosciute hanno abbandonato il server di comando e controllo utilizzato per ottenere il controllo delle macchine infette. Si presume che la cybergang asiatica sospettasse di avere il FBI sulle loro tracce, quindi lasciò abbandonato e incustodite le attività del malware, e questo andò fuori controllo.
Sponsorizza la prossima Red Hot Cyber Conference!
Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un paccheto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
All’inizio mentre la variante PlugX era in piena attività, i criminali informatici erano riusciti a creare una botnet composta da milioni di computer. Stiamo parlando di un enorme insieme di apparecchiature che potrebbero essere controllate da remoto dagli aggressori.
Ora, eliminando il server di comando e controllo dallo schema, non c’era più nessuno che controllasse il malware, quindi apparentemente non rappresentava più una minaccia. La verità è che solo una parte di questo programma dannoso non era più un problema di cui preoccuparsi, perché un’altra parte era ancora molto attiva.
Questo è proprio ciò che hanno potuto verificare i ricercatori di Sekoia, che hanno preso il controllo del server di comando e controllo per impedire a chiunque di far rivivere la variante PlugX, e soprattutto ottenere ulteriori dati sul suo funzionamento.
L’analisi di un host infetto ha permesso di identificare a quale indirizzo IP si collegava il malware, che era esattamente l’indirizzo IP del server di comando e controllo. Poiché l’IP era disponibile per l’acquisto, Sekoia ha effettuato un esborso di denaro inferiore a 10 dollari USA per gestirlo.
Una volta compiuto questo passo indispensabile, i ricercatori hanno scoperto che tra i novanta mila e cento mila indirizzi IP univoci inviano richieste giornaliere alla vecchia variante di PlugX.
E’ difficile identificare il numero di computer infetti in base a queste informazioni, ma possiamo fare un’approssimazione. Gli esperti ritengono che il malware worm continui a diffondersi e sia attivo forse su milioni di dispositivi.
Il worm per sua natura ha continuato a funzionare in automatico e sebbene la botnet sia stata smantellata, i ricercatori avvertono che chiunque abbia capacità di intercettazione potrebbe inviare comandi arbitrari agli host infetti per rianimarlo.
Di fronte a questo scenario, Sekoia ha scoperto che è possibile utilizzare il server di comando e controllo per neutralizzare completamente la minaccia sia sui computer compromessi che sulle unità USB. Si tratta di una possibilità tecnica che nella realtà non è stata ancora messa in pratica.
Sekoia ha formulato due strategie per pulire i computer e ha invitato i team nazionali di sicurezza informatica e le forze dell’ordine a unirsi allo sforzo di disinfezione.
Un metodo consiste nell’inviare il comando di auto eliminazione supportato da PlugX, che dovrebbe rimuoverlo dai computer senza azioni aggiuntive.
Tuttavia, anche se il malware viene rimosso dall’host, sussiste comunque il rischio di una nuova infezione perché il malware si diffonde sui dispositivi USB e in questo modo non è possibile pulirli.
Un metodo più complesso prevede lo sviluppo e la distribuzione di un payload personalizzato sulle macchine infette per rimuovere PlugX sia dal sistema che dalle unità USB infette ad esse collegate.
Sekoia si è offerta di fornire ai CERT nazionali (Computer Emergency Response Team) le informazioni necessarie per eseguire una disinfezione massiva per evitare la complessità legale dell’invio di comandi alle postazioni di lavoro di altre persone.
Indipendentemente dal metodo, Sekoia osserva che purtroppo le reti air gap già colpite da PlugX sono fuori portata e lo stesso vale per le unità USB infette che non sono collegate.
I ricercatori di Sekoia affermano che la botnet creata con la versione sinkhole di PlugX può essere considerata “morta” perché gli operatori di questo malware non hanno più il controllo.
PlugX è stato utilizzato almeno dal 2008 principalmente in operazioni di spionaggio e accesso remoto da parte di gruppi legati al Ministero della Sicurezza dello Stato cinese. È stato utilizzato da più gruppi di attacco spesso per prendere di mira organizzazioni governative, di difesa, tecnologiche e politiche, principalmente in Asia e successivamente espandendosi in Occidente.
Nel corso del tempo, gli sviluppatori di PlugX sono emersi nello spazio pubblico e alcuni ricercatori ritengono che il codice sorgente del malware sia trapelato intorno al 2015. Per questo motivo e il fatto che lo strumento abbia ricevuto più aggiornamenti nel corso del tempo rende difficile attribuire PlugX a una unica gang o un programma specifico.
Il malware presenta funzionalità estese tra cui l’esecuzione di comandi, il caricamento e il download di file, la registrazione delle sequenze di tasti e l’accesso alle informazioni di sistema.
Un supporto congiunto a livello internazionale per stroncare l’infezione e la propagazione sarebbe auspicabile, anche se come abbiamo verificato in passato, mettere insieme sinergie internazionali è parecchio complesso.
Ricardo NardiniI criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...
Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...
Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...
Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...
Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...
