Malware GAMMASTEEL: in 30 minuti ruba tutti i file preziosi della vittima

Il gruppo hacker noto come Armageddon viene considerato da molti come il più aggressivo e prolifico nel contesto russo.

Il curriculum di questa crew parla chiaro: dal 2014, i criminali informatici in questione hanno lanciato malware come Gamaredon, UAC-0010, Trident Ursa, Primitive Bear e Shuckworm. Con lo scoppio della guerra in Ucraina, la gang sembra aver intensificato le proprie attività, prendendo di mira proprio le istituzioni pubbliche di tale paese.

L’ultima minaccia, in tal senso, è il temuto malware GAMMASTEEL. A tal proposito, il team ucraino di risposta alle emergenze informatiche (CERT-UA) ha analizzato le tattiche attuali di Armageddon, cercando di analizzare il funzionamento del loro agente malevolo.

GAMMASTEEL, a quanto pare, viene diffuso attraverso attacchi di spear phishing che utilizzano e-mail e messaggi su Telegram, WhatsApp, Signal o altri servizi di messaggistica. Attraverso gli account, compromessi in precedenza, vengono diffusi file HTM o HTA la cui apertura avvia l’infezione.

GAMMASTEEL è una minaccia per le istituzioni ucraine e non solo

Ciò che rende altamente efficace questo malware, però, sono i tempi d’azione. Stando agli esperti, infatti, GAMMASTEEL agisce entro 30-50 minuti dall’infezione, setacciando il dispositivo e rubando quanti più file possibili.

A quanto pare, le estensioni prese di mira includerebbero i più comuni documenti (.doc, .docx, .xls, .xlsx, .rtf, .odt, .txt e .pdf ) immagini (.jpg e .jpeg) così come archivi (.rar e .zip). Con queste tempistiche e una vasta struttura di diffusione, è facile capire perché questo malware si diffonda così rapidamente.

Una caratteristica caratteristica di questo info stealer è la creazione di un file di log. Questo dovrebbe chiamarsi “%LOCALAPPDATA%\_profiles_1_new_.ini” e contenere dati riguardanti file rubati (incluso il loro numero).

L’azione di GAMMASTEEL, al momento, sembra concentrarsi nel contesto dell’Ucraina e, a tal proposito, gli esperti di CERT-UA hanno esortato soldati e non a utilizzare  software di protezione di classe EDR (endpoint detection and response).

Vista la diffusione e l’alto tasso di efficacia, non è detto che questo info stealer non possa diventare presto una minaccia concreta anche in occidente.