Il malware AcidBox sfrutta l'exploit del Gruppo Turla per colpire le organizzazioni russe
22 Giugno 2020 - Tempo di lettura: 6 minuti
Per aumentare l'impatto e l'intensità dei loro attacchi, diversi criminali informatici hanno iniziato a prendere di mira piattaforme di virtualizzazione legittime utilizzate nelle organizzazioni. Recentemente è stato trovato un nuovo malware che sfrutta i bug nelle nuove versioni di VirtualBox.
AcidBox: l'ultima minaccia alla virtualizzazione
Un'analisi dei campioni di malware, noti per essere utilizzati nell'exploit VirtualBox di Turla, ha dimostrato che questo malware è stato utilizzato in attacchi altamente mirati.
- All'inizio di questo mese, l'Unità 42 di Palo Alto Networks ha scoperto che un cybergang ancora da identificare aveva lanciato attacchi contro due diverse organizzazioni russe nel 2017, attaccando il famoso software di virtualizzazione open source VirtualBox.
- Il cybergang ha sviluppato un malware avanzato, soprannominato AcidBox, per abusare di un bug (CVE-2008-3431), nel meccanismo di sicurezza di Windows Vista chiamato Driver Signature Enforcement (DSE). Il malware ha anche preso di mira una seconda vulnerabilità DSE legata a un driver VirtualBox firmato (VBoxDrv.sys v1.6.2).
- Visto per la prima volta nel febbraio 2020, il malware ha persino preso di mira il driver VirtualBox VBoxDrv.sys v1.6.2, insieme a tutte le altre versioni fino alla v3.0.0.
Meccanismi di evasione innovativi tramite VirtualBox
Recentemente, sono stati anche osservati criminali informatici che sfruttano VirtualBox come una tecnica di evasione per contrastare venditori di antivirus e ricercatori di virus.
- Nel maggio 2020, sono stati osservati gli operatori di ransomware RagnarLocker che distribuivano Oracle VirtualBox per schivare la sicurezza nascondendo la loro presenza all'interno di una macchina virtuale Windows XP sui computer infetti.
- Nel dicembre 2019, è stato rilevato il malware ZeroCleare utilizzando un driver vulnerabile ma firmato da una versione del software della macchina virtuale VirtualBox di Oracle per aggirare il controllo della firma del driver che gli consente di attaccare le versioni a 64 bit di Windows.
Stiamo sicuri
Gli utenti dovrebbero seguire i principi fondamentali della sicurezza informatica, come mantenere aggiornati il software e i sistemi operativi host / guest e limitare l'accesso alla rete ai servizi critici. Inoltre, i team di sicurezza dovrebbero monitorare regolarmente l'attività del sistema per rilevare eventuali anomalie nel comportamento normale.