Il malware DEEPDATA sfrutta una falla Fortinet non corretta esponendo le credenziali VPN allo spionaggio informatico

I ricercatori di sicurezza informatica hanno scoperto una nuova minaccia significativa che prende di mira la VPN FortiClient di Fortinet, evidenziando le allarmanti capacità del malware noto come DEEPDATA. Questo attacco sofisticato, attribuito al gruppo di minacce BrazenBamboo, sfrutta una vulnerabilità zero-day per rubare credenziali VPN sensibili, esponendo aziende e privati a un rischio elevato di spionaggio e furto di dati.

Come DEEPDATA sfrutta la vulnerabilità di Fortinet

Divulgato dalla società di sicurezza informatica Volexity, DEEPDATA sfrutta una vulnerabilità precedentemente sconosciuta in FortiClient per Windows per raccogliere credenziali VPN direttamente dalla memoria. Questo difetto, segnalato a Fortinet a luglio 2024, non è stato ancora patchato al momento della stesura di questo articolo. La vulnerabilità non affrontata consente agli aggressori di sfruttare il popolare software VPN di Fortinet per ottenere accesso non autorizzato alle reti aziendali, consentendo potenzialmente ulteriori infiltrazioni e furti di dati.

Al centro di DEEPDATA c'è un caricatore di librerie a collegamento dinamico (DLL), data.dll, che decifra e attiva 12 plugin dannosi tramite un modulo orchestratore chiamato frame.dll. Un plugin, specificamente mirato a FortiClient, estrae le credenziali VPN, garantendo agli aggressori un punto d'appoggio furtivo all'interno di ambienti compromessi.

DEEPDATA: un nuovo livello di spionaggio

Le capacità di DEEPDATA fanno parte di un toolkit più ampio progettato da BrazenBamboo, un gruppo strettamente legato all'attore della minaccia APT41 associato alla Cina. La suite di malware si espande su framework precedenti come LightSpy, una piattaforma spyware versatile che prende di mira macOS, iOS e Windows.

Le caratteristiche principali di DEEPDATA e dei suoi strumenti correlati includono :

  • Furto di credenziali : cattura le credenziali dalle app di comunicazione più diffuse, come WhatsApp, Telegram, Signal e KeePass.
  • Esfiltrazione dati : raccoglie dettagli del browser web, password delle applicazioni, dati degli hotspot Wi-Fi e informazioni sul software installato.
  • Sorveglianza persistente : mantiene un accesso furtivo e a lungo termine ai dispositivi bersaglio per uno spionaggio completo.

Questo malware multifunzionale mette in luce un'attenzione meticolosa alle piattaforme di comunicazione, con gli aggressori che danno priorità alla furtività e alla persistenza per massimizzare le opportunità di raccolta di informazioni.

DEEPPOST e LightSpy: strumenti complementari per attacchi avanzati

L'arsenale informatico di BrazenBamboo non si ferma a DEEPDATA. Il suo strumento DEEPPOST facilita l'esfiltrazione dei dati, consentendo agli aggressori di trasferire file rubati su server remoti. Nel frattempo, il framework LightSpy, operativo dal 2022, dimostra una modularità avanzata, impiegando plugin specializzati per:

  • Registra filmati dalla webcam.
  • Eseguire comandi tramite una shell remota.
  • Raccogli dati audio, sequenze di tasti e browser.
  • Cattura le immagini dello schermo e fai l'inventario del software installato.

L'architettura di LightSpy per le varianti Windows, distribuita tramite un programma di installazione personalizzato, suggerisce che il suo sviluppo fa parte di uno sforzo sistematico e ben finanziato per creare strumenti di hacking su misura.

Implicazioni per la sicurezza informatica e lo spionaggio

La sovrapposizione di codice e infrastruttura tra DEEPDATA e LightSpy suggerisce che queste famiglie di malware potrebbero derivare da aziende private incaricate di sviluppare strumenti per attori di stati nazionali. Aziende come Chengdu 404 e I-Soon sono esempi principali di organizzazioni implicate nella creazione di strumenti informatici offensivi per uso governativo.

La scoperta di DEEPDATA evidenzia la crescente tendenza dei framework malware modulari progettati per capacità multipiattaforma. Questo approccio consente ad attori di minacce come BrazenBamboo di adattare i propri strumenti a vari sistemi operativi e ambienti, garantendo longevità ed efficacia operative.

Misure urgenti per la protezione

Considerato il rischio continuo rappresentato da DEEPDATA e dalla vulnerabilità Fortinet non corretta, è fondamentale che le organizzazioni e gli utenti adottino misure immediate per mitigare i potenziali danni:

  1. Monitora le patch : rimani aggiornato sulle patch di sicurezza di Fortinet e applicale non appena diventano disponibili.
  2. Migliorare il monitoraggio della rete : implementare soluzioni EDR (endpoint detection and response) efficaci per identificare attività insolite.
  3. Eseguire verifiche delle credenziali : modificare regolarmente le credenziali VPN e monitorare i tentativi di accesso non autorizzati.
  4. Segmentare le reti : limitare l'accesso alle risorse critiche per ridurre al minimo l'impatto delle credenziali compromesse.

Il malware DEEPDATA sottolinea l'elevata posta in gioco delle vulnerabilità irrisolte nei software ampiamente utilizzati. Mentre gli attori delle minacce come BrazenBamboo continuano a perfezionare i loro strumenti, le organizzazioni devono rimanere vigili, impiegando difese a più livelli e una gestione proattiva delle vulnerabilità per contrastare le minacce informatiche avanzate.

Il tempo stringe per risolvere la falla di Fortinet: aziende e privati devono agire rapidamente per proteggere i propri dati sensibili e le risorse digitali.

Entro il Zane
November 20, 2024
Malware
Italiano
November 20, 2024
Malware

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.