Il malware della Blockchain

Gli analisti di Kaspersky hanno individuato un nuovo malware dannoso che sfrutta la tecnologia NKN, un protocollo di rete peer-to-peer orientato alla blockchain, noto per la sua decentralizzazione e protezione della privacy.

Il software, chiamato NKAbuse, è un ibrido che agisce sia come backdoor/RAT sia come strumento per infliggere attacchi flood, rappresentando quindi una doppia minaccia estremamente versatile. Come backdoor/RAT, NKAbuse consente agli aggressori di accedere ai sistemi delle vittime in modo non autorizzato, permettendo loro di eseguire comandi in modo discreto, rubare dati e monitorare le attività. Questa funzionalità è particolarmente preziosa per attività di spionaggio e furto di informazioni. Allo stesso tempo, in qualità di strumento di flood, può lanciare attacchi DDoS distruttivi, sovraccaricando e danneggiando i server o le reti bersaglio, con impatti significativi sulle operazioni aziendali.
Le capacità avanzate del malware comprendono la cattura di schermate, la gestione di file, il recupero di informazioni di sistema e di rete e l’esecuzione di comandi di sistema. Tutti i dati raccolti vengono inviati al botmaster tramite la rete NKN, utilizzando comunicazioni decentralizzate per garantire la confidenzialità e l’efficienza.

Il processo di infiltrazione di NKAbuse ha inizio sfruttando una vulnerabilità datata, la RCE CVE-2017-5638, che consente agli aggressori di assumere il controllo dei sistemi vulnerabili. Successivamente, il malware scarica un payload sull’host della vittima, che viene inizialmente collocato in una directory temporanea per l’esecuzione. NKAbuse assicura la sua permanenza creando un cron job e si insedia all’interno della cartella home dell’host, garantendo così il suo funzionamento continuo all’interno del sistema.

“L’uso del protocollo NKN da parte dell’impianto sottolinea la sua strategia di comunicazione avanzata, che consente operazioni decentralizzate e anonime e sfrutta le caratteristiche della blockchain di NKN per una comunicazione efficiente e furtiva tra i nodi infetti e i server C2. Questo approccio complica gli sforzi di rilevamento e mitigazione”, ha commentato Lisandro Ubiedo, Security Researcher del GReAT di Kaspersky.

Per proteggersi da questo tipo di attacchi mirati da parte di un attore noto o sconosciuto, i ricercatori di Kaspersky consigliano di implementare le seguenti misure:

• Aggiornare regolarmente il sistema operativo, le applicazioni e il software antivirus per eliminare le vulnerabilità note.
• Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce (TI). Kaspersky Threat Intelligence Portal è un unico punto di accesso per le informazioni sulle minacce dell’azienda, che fornisce dati e approfondimenti sui cyberattacchi raccolti da Kaspersky in oltre 20 anni.

• Aggiornare il proprio team di cybersecurity per affrontare le ultime minacce mirate con la formazione online di Kaspersky sviluppata dagli esperti del GReAT.

• Per il rilevamento a livello di endpoint, l’indagine e la risoluzione tempestiva degli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
• Per approfondire gli avvisi e le minacce identificate dai controlli di sicurezza, è possibile utilizzare i servizi di Incident Response e Digital Forensics di Kaspersky.

*illustrazione articolo progettata da  Freepik