{"id":42552,"date":"2019-07-18T01:38:27","date_gmt":"2019-07-17T23:38:27","guid":{"rendered":"https:\/\/www.area-press.eu\/comunicatistampa\/?p=42552"},"modified":"2019-07-18T01:38:27","modified_gmt":"2019-07-17T23:38:27","slug":"gli-spettatori-tv-della-corea-del-sud-presi-di-mira-da-pericolosi-torrent","status":"publish","type":"post","link":"https:\/\/www.area-press.eu\/comunicatistampa\/2019\/07\/18\/gli-spettatori-tv-della-corea-del-sud-presi-di-mira-da-pericolosi-torrent\/","title":{"rendered":"Gli spettatori TV della Corea del Sud presi di mira da pericolosi torrent"},"content":{"rendered":"<p>I ricercatori <a href=\"http:\/\/www.eset.it\">ESET<\/a> hanno scoperto e analizzato una campagna malevola in corso che distribuisce una backdoor via torrent, sfruttando contenuti <strong>TV<\/strong> coreani e in alcuni casi dei giochi popolari. La <strong>backdoor<\/strong> si diffonde grazie a siti torrent della Corea del Sud e della Cina e consente ai criminali di connettere il computer compromesso a una botnet e controllarlo da remoto.<\/p>\n<p>Il malware in questione \u00e8 una versione modificata di una backdoor disponibile pubblicamente denominata GoBot2; le modifiche al codice sorgente sono principalmente tecniche di evasione specifiche per la Corea del Sud. A causa del chiaro focus della campagna, ESET ha soprannominato questa variante di <strong>Win64\/GoBotKR<\/strong>. Lo stesso paese risulta di conseguenza quello pi\u00f9 colpito con circa l\u201980% di tutte le rilevazioni, seguito da Cina (10%) e Taiwan (5%). Sempre secondo la telemetria ESET, GoBotKR \u00e8 attivo dal 2018.<\/p>\n<p>\u201c<em>Gli autori di questa campagna cercano di indurre gli utenti a eseguire il malware inserendo nei contenuti torrent dei file dannosi con nomi, estensioni e icone ingannevoli<\/em>\u201d, afferma la ricercatrice ESET Zuzana Hromcova, che ha analizzato il malware. \u201c<em>Per esempio eseguire direttamente uno specifico file MP4 non comporter\u00e0 alcuna azione dannosa, purtroppo il problema \u00e8 che questo stesso file spesso verr\u00e0 nascosto in una directory diversa e gli utenti prima di trovarlo potrebbero essere ingannati dal contenuto pericoloso che lo imita<\/em>. \u201c<\/p>\n<p>Secondo ESET, il malware non \u00e8 particolarmente complesso dal punto di vista tecnico. Tuttavia, i criminali dietro a GoBotKR stanno costruendo una rete di robot che possono essere utilizzati per eseguire attacchi <strong>DDoS<\/strong> di vario tipo. Pertanto, dopo essere stato eseguito, GoBotKR raccoglie innanzitutto le informazioni di sistema sul computer compromesso, inclusa la configurazione di rete, i dettagli sulla versione del sistema operativo e le versioni della CPU e della GPU, in particolare identifica e riporta il software antivirus installato.<\/p>\n<p>\u201c<em>Queste informazioni vengono inviate a un server C &amp; C, che aiuta gli autori a determinare quali bot utilizzare per i diversi attacchi. Tutti i server C &amp; C identificati grazie ai campioni di malware analizzati sono ospitati in Corea del Sud e registrati dalla stessa persona<\/em> \u201c, afferma Hromcova nella sua analisi.<\/p>\n<p>Il bot ha molte funzionalit\u00e0, come consentire l\u2019uso improprio del computer compromesso, permettere ai criminali di controllare o estendere ulteriormente la botnet, eludere il rilevamento e nascondersi all\u2019utente. Tra gli altri comandi supportati c\u2019\u00e8 la possibilit\u00e0 di dirigere un attacco DDoS su determinate vittime, copiare il malware sui supporti rimovibili collegati al sistema o nelle cartelle pubbliche dei servizi di archiviazione in Cloud (Dropbox, OneDrive, Google Drive) usati dall\u2019utente compromesso e diffondere il file pericoloso sui torrent per ingrandire ulteriormente la botnet.<\/p>\n<p>GoBotKR \u00e8 particolarmente interessante per le sue tecniche di evasione, che sono state concepite per colpire la Corea del Sud. In particolare, il malware esegue la scansione dei processi in esecuzione sul sistema compromesso per rilevare i prodotti antivirus presenti, inclusi quelli di una societ\u00e0 di sicurezza sudcoreana e nel caso ne venga identificato uno, la minaccia cessa immediatamente le sue attivit\u00e0. Un\u2019altra tecnica di evasione impiegata \u00e8 la ricerca di strumenti analitici in esecuzione sul sistema, in particolare quelli della stessa azienda della Corea del Sud appena citata. Nella terza tecnica di evasione, i malviventi sfruttano abusivamente le piattaforme online coreane legittime per determinare l\u2019indirizzo IP della vittima. \u201c<em>Complessivamente, le modifiche ci mostrano che gli hacker hanno personalizzato il malware per un pubblico specifico, e hanno profuso notevoli sforzi per evitare di essere individuati nella loro campagna<\/em>\u201d conclude Hromcova.<\/p>\n<p>&nbsp;<\/p>\n<p>Per ulteriori informazioni su ESET \u00e8 possibile visitare il sito <a href=\"https:\/\/www.eset.com\/it\/\">https:\/\/www.eset.com\/it\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>I ricercatori ESET hanno scoperto e analizzato una campagna malevola in corso che distribuisce una backdoor via torrent, sfruttando contenuti TV coreani e in alcuni casi dei giochi popolari. La backdoor si diffonde grazie a siti torrent della Corea del Sud e della Cina e consente ai criminali di connettere il computer compromesso a una [&hellip;]<\/p>\n","protected":false},"author":4630,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[29],"tags":[],"class_list":["post-42552","post","type-post","status-publish","format-standard","hentry","category-comunicati"],"_links":{"self":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/42552","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/users\/4630"}],"replies":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/comments?post=42552"}],"version-history":[{"count":1,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/42552\/revisions"}],"predecessor-version":[{"id":42553,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/42552\/revisions\/42553"}],"wp:attachment":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/media?parent=42552"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/categories?post=42552"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/tags?post=42552"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}