Online si sta diffondendo un nuovo e temibile attacco informatico, noto come Sponsor Malware, che sembra avere una particolare predilezione per governi e istituti ospedalieri.
Questo agente malevolo è collegato a Ballistic Bobcat, gruppo considerato sotto l’influenza del governo iraniano e attivo già nel periodo della pandemia. Secondo ESET, il collettivo di hacker è riconducibile anche ad altre campagne malware come APT35, APT42, Charming Kitten, TA453 e PHOSPHORUS.
Sponsor Malware, a quanto pare, ha alcune predilezioni territoriali. L’agente, infatti, finora ha preso di mira diversi contesti in Brasile, Israele ed Emirati Arabi Uniti, con un totale di 34 vittime finora accertate. Secondo i dati ottenuti da ESET, però, in ogni paese il modus operandi degli hacker presenta delle piccole differenze.
La campagna Sponsor Malware sfrutta una vulnerabilità di Microsoft Exchange
Al momento Sponsor Malware lavora attraverso un exploit di Microsoft Exchange, strumento già vittima in passato di attacchi simili. L’agente malevolo utilizza file di configurazione innocui e un approccio modulare per eludere le scansioni: una tattica utilizzata frequentemente da Ballistic Bobcat da oltre due anni, così come l’utilizzo di strumenti open source.
Il paese finora più colpito sembra essere Israele. Nel paese, infatti, sono stati registrati casi nel settore automobilistico, nel contesto assicurativo, in quello dell’assistenza sanitaria e nell’industria tecnologica e delle telecomunicazioni.
Tra gli strumenti open source utilizzati nell’operazione figurano:
- host2ip.exe
- RevSocks
- Mimikatz
- Armadillo PE packer
- GO Simple Tunnel (GOST)
- Chisel
- csrss_protected.exe
- Plink (PuTTY Link)
- WebBrowserPassView.exe
- sqlextractor.exe
- ProcDump
Nonostante Sponsor Malware non ha fatto registrare casi in Italia o nelle nazioni limitrofe, è bene sempre tenere alto il livello d’attenzione.
Per i comuni utenti, di fatto, oltre alla prudenza anche l’adozione di un antivirus adeguato può evitare di cadere in trappole come quella orchestrata dagli hacker di Ballistic Bobcat.