I ricercatori di Resecurity hanno identificato un nuovo RAT (Remote Administration Tool) pubblicizzato sul Dark Web e Telegram chiamato Escanor. Le versioni offerte sono basate su Android e PC insieme al modulo HVNC e al generatore di exploit per armare i documenti Microsoft Office e Adobe PDF per fornire codice dannoso.
Messo in vendita il 26 gennaio 2022 inizialmente come impianto HVNC compatto che permette di stabilire una connessione remota silenziosa al computer della vittima, Esconar è stato successivamente trasformato dai suoi autori in un RAT commerciale su vasta scala con un ricco set di funzionalità, divenendo molto popolare nel Dark Web e attirando oltre 28.000 abbonati sul canale Telegram.
La versione mobile di Escanor (nota anche come “Esca RAT”) viene utilizzata attivamente dai criminali informatici per attaccare i clienti delle banche online mediante l’intercettazione di codici OTP. Lo strumento può essere utilizzato per raccogliere le coordinate GPS della vittima, monitorare le sequenze di tasti, attivare telecamere nascoste e sfogliare i file sui dispositivi mobili remoti per rubare dati.
“I truffatori monitorano la posizione della vittima e sfruttano Esca RAT per rubare le credenziali alle piattaforme bancarie online ed eseguire l’accesso non autorizzato all’account compromesso dallo stesso dispositivo e IP – in tal caso i team di prevenzione delle frodi non sono in grado di rilevarlo e reagire tempestivamente”, ha affermato Ali Saifeldin, analista di malware presso Resecurity, Inc. che ha indagato su diversi recenti casi di furto di banche online.
La maggior parte dei campioni rilevati di recente è stata consegnata utilizzando Escanor Exploit Builder. I threat actors utilizzano documenti esca che imitano fatture e notifiche di popolari servizi online. In particolare, il nome di dominio ‘escanor[.]live’ è stato precedentemente identificato in connessione all’infrastruttura di AridViper (APT-C-23 / GnatSpy). L’APT-C-23 come gruppo era attivo nella regione del Medio Oriente, noto per prendere di mira in particolare le risorse militari israeliane. Dopo il rilascio del rapporto da Qihoo 360, l’attore Escanor RAT ha rilasciato un video descrittivo su come utilizzare lo strumento per bypassare il rilevamento AV.
La maggior parte delle vittime infettate da Escanor è stata identificata negli Stati Uniti, Canada, Emirati Arabi Uniti, Arabia Saudita, Kuwait, Bahrain, Egitto, Israele, Messico e Singapore con alcune infezioni nel sud-est asiatico.
