Il mondo del cybercrimine, per sua stessa concezione, non ha regole particolari. Può così succedere che i pesci più grossi vadano a mangiare quelli più piccoli.
In questo senso, è stata recentemente individuata dalla società Kasada una nuova campagna malware alquanto singolare. Questa, infatti, sfrutta alcuni file di configurazione OpenBullet dannosi per prendere di mira i criminali informatici inesperti.
OpenBullet, di per sé uno strumento del tutto legittimo, viene “alimentato” attraverso configurazioni specifiche. Queste, se adeguatamente preparate, sembrano poter distribuire un trojan di accesso remoto (RAT) capace di rubare informazioni sensibili, anche agli stessi cybercriminali che stanno utilizzando il sistema.
Secondo Kasada “OpenBullet può essere utilizzato con Puppeteer, che è un browser senza testa che può essere utilizzato per automatizzare le interazioni Web. Questo rende molto facile lanciare attacchi relativi alla compilazione delle credenziali senza dover gestire le finestre più finestre del browser aperte“.
Criminali informatici inesperti “cannibalizzati” dai colleghi più smaliziati
Le configurazioni di OpenBullet sono essenzialmente una porzione di codice eseguibile per generare richieste HTTP rispetto a sito Web o applicazione Web di destinazione. Queste vengono scambiate o vendute all’interno delle comunità di cybercriminali, il che le rende molto diffuse (e sfruttabili per ulteriori scopi malevoli).
La campagna scoperta da Kasada utilizza configurazioni dannose, diffuse tramite un canale Telegram, per raggiungere un repository GitHub. Da qui viene recuperato un dropper basato su Rust (noto come Ocean), utile a sua volta per scaricare il payload vero e proprio.
Il malware, installato sul computer dei criminali informatici meno smaliziati, si chiama Patent ed è basato sul linguaggio Python. Attraverso Telegram, esso è in grado di controllare l’obiettivo, ottenendo qualunque tipo di informazione dalla macchina. A quanto pare, tra i dati più interessanti per i cybercriminali, vi sono quelli che riguardano i wallet di criptovalute posseduti dai loro “colleghi” meno esperti.