Il cybercrime ha immesso un nuovo malware che si installa attraverso quattro packer: è un RAT, si chiama “ProClient” ed è specializzato nello spionaggio e nel furto di credenziali.
A rilevarlo durante il mese di febbraio 2020 sono stati gli specialisti del CERT-PA. Si tratta di un RAT scritto in .NET, battezzato ProClient (dal nome di alcuni namespace presenti all’interno), con funzionalità avanzate per lo spionaggio ed il controllo della vittima, nonché per il furto di credenziali.
«La struttura del malware – si legge nella nota – si è rilevata piuttosto semplice, favorendone il reverse engineering. Nel campione rilevato, il payload finale – una DLL contenente ProClient – è protetto da una serie di packer (tra cui CyaX, già discusso in un bollettino precedente), l’ultimo dei quali ha anche il compito di eseguire il metodo entry-point passandogli la configurazione».
Tra le funzionalità più invasive da parte dell’attaccante emergono:
- la possibilità di accendere e spegnere il monitor del pc della vittima
- la funzionalità di accesso alla webcam che permette agli attaccanti di spiare la vittima in ogni suo momento
- la funzionalità di avviare un’istanza del CMD come amministratore, permettendo all’attaccante di avere una shell controllabile da remoto in tempo reale.
La funzionalità di permettere agli attori criminali di effettuare il download e l’upload di file verso/da la vittima permettendo, così, l’esfiltrazione di dati sensibili o l’esecuzione di ulteriori processi malevoli.
I dettagli, l’analisi e gli IoC sono disponibili nell’apposito bollettino al seguente link:
https://www.cert-pa.it/wp-content/uploads/2020/02/CERT-PA-B001-200227.pdf
