SandStrike, quando dietro la VPN si nasconde uno spyware. L'analisi di Kaspersky

L'ingegneria sociale è da sempre una delle armi più potenti in mano ai criminali informatici e spesso è ancora più importante della tecnologia per aggirare le difese informatiche delle vittime. Un recente esempio arriva da SandStrike, un nuovo spyware scoperto da Kaspersky che prende di mira i i Baháʼí, una minoranza religiosa di lingua persiana e che viene installato spacciandolo come VPN. 

SandStrike, lo spyware che prende di mira le minoranze religiose

I ricercatori di Kaspersky hanno scoperto un nuovo spyware, SandStrike. Si tratta di un malware particolarmente sofisticato camuffato da applicazione VPN. Per convincere le vittime a installarlo, gli autori hanno creato degli account su Facebook e Instagram a tema religioso contenenti post che rimandavano a un canale Telegram controllato dai criminali. Tramite questo canale, hanno poi convinto gli utenti a installare un software di VPN per Android così da poter visualizzare ulteriori contenuti religiosi altrimenti bloccati dai governi locali. Un software perfettamente funzionante, basato su un'infrastruttura messa in piedi per lo scopo dagli attaccanti.

Nonostante l'applicazione all'apparenza funzioni correttamente, al suo interno si cela uno spyware per tracciare l'attività di questi utenti e recuperare dati come i registri delle chiamate, gli elenchi dei contatti.

Metatron, il malware che attacca telco, ISP e università

SandStrike non è l'unica nuova minaccia rilevata da Kaspersky che, insieme a SentinelOne, ha scoperto e analizzato una nuova piattaforma malware chiamata Metatron, considerata particolarmente sofisticata. Questa minaccia è stata progettata per aggirare le soluzioni di sicurezza locali e distribuire il malware direttamente sulla memoria, così da rendere più difficile l'individuazione, e prende di mira aziende specifiche: imprese di telecomunicazioni, provider di connettività Internet e istituti universitari. Questa piattaforma malware è stata rilevata in Africa e alcuni paesi del Medio Oriente. 

“Come si può osservare dall’analisi degli ultimi tre mesi, gli attori APT si stanno impegnando a creare nuovi strumenti di attacco e a migliorare quelli vecchi per lanciare nuove campagne malevole. Nei loro attacchi, utilizzano metodi astuti e inaspettati: SandStrike, che attacca gli utenti attraverso il servizio VPN, nel quale le vittime cercavano di trovare protezione e sicurezza, è un esempio perfetto. Oggi è facile distribuire malware attraverso i social network e rimanere inosservati per diversi mesi o anche di più. Per questo è importante essere sempre prudenti, assicurarsi di essere informati sulle minacce e di avere gli strumenti giusti per proteggersi da quelle esistenti ed emergenti”, ha commentato Victor Chebyshev, Lead Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.