Grazie al lavoro dei ricercatori di ANY.RUN, azienda che offre servizi di analisi sandbox, è stato possibile osservare una nuova variante del malware RisePro.
Questa nuova versione dell’agente malevolo presenta un protocollo di comunicazione e funzionalità di accesso remoto rinnovate rispetto al passato, il che rendono tale malware ancora più difficile da contrastare. Non solo: RisePro può vantare due diverse modalità di attacco, con una variante in C# e una in C++.
Il “nuovo” malware sfrutta un protocollo personalizzato su TCP per la comunicazione, accantonando la precedente strategia che si basava su HTTP. Anche sotto il punto di vista di esfiltrazione dei dati, RisePro ha ottenuto un notevole upgrade.
La nuova variante, infatti, ha un raggio d’azione molto più ampio, capace di sottrarre, a seconda del caso password, cronologia dei browser, documenti di vario tipo ma anche altre informazioni come IP dell’utente e specifiche tecniche del computer infettato. Una volta ottenuto ciò che stava cercando, l’agente malevolo crea un archivio ZIP con la refurtiva e lo invia a chi gestisce la campagna.
Il “nuovo” RisePro cambia protocollo di comunicazione (e non solo)
RisePro è stato arricchito di una funzionalità facoltativa che consente agli aggressori il controllo remoto tramite Hidden Virtual Network Computing (HVNC). Ciò significa che, se il cybercriminale intende farlo, può prendere il totale controllo del dispositivo della vittima.
Se è vero che la ricerca ha consentito agli sviluppatori di ANY.RUN di aggiornare le proprie tecniche di rilevamento sandbox, dall’altra parte l’evoluzione del malware non può far altro che preoccupare esperti e potenziali vittime.
Per i comuni utenti, non resta far altro che mantenere alta l’attenzione. Un antivirus adeguato, abbinato a una prudenza quando si tratta di scaricare allegati sospetti dalla posta elettronica, sono un’ottima base per evitare incontri spiacevoli con RisePro e altre minacce simili.