Le organizzazioni in Kazakistan sono state recentemente bersagliate da un gruppo di attività di minaccia noto come Bloody Wolf, che impiega un malware chiamato STRRAT (anche conosciuto come Strigoi Master). Questo malware, venduto per soli 80 dollari in risorse sotterranee, permette agli aggressori di prendere il controllo dei computer aziendali e di sottrarre dati riservati. Secondo una nuova analisi del vendor di cybersecurity BI.ZONE, questi attacchi informatici utilizzano email di phishing come vettore di accesso iniziale, impersonando il Ministero delle Finanze della Repubblica del Kazakistan e altre agenzie per indurre i destinatari ad aprire allegati PDF.

Il file allegato, che si presenta come un avviso di non conformità, contiene link a un archivio Java (JAR) malevolo e a una guida per l’installazione dell’interprete Java necessario per il funzionamento del malware. Per dare un'aura di legittimità all'attacco, il secondo link reindirizza a una pagina web associata al sito governativo del Kazakistan, che invita i visitatori a installare Java per garantire l'operatività del portale.

Il malware STRRAT, ospitato su un sito web che imita quello del governo del Kazakistan (egov-kz[.]online), stabilisce la persistenza sul sistema Windows mediante una modifica al Registro di sistema e avvia il file JAR ogni 30 minuti. Inoltre, una copia del file JAR viene inserita nella cartella di avvio di Windows per garantire che venga eseguito automaticamente dopo ogni riavvio del sistema.

Successivamente, il malware stabilisce connessioni con un server Pastebin per esfiltrare informazioni sensibili dal computer compromesso, inclusi dettagli sulla versione del sistema operativo, software antivirus installato e dati degli account di Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook e Thunderbird. È anche progettato per ricevere comandi aggiuntivi dal server per scaricare ed eseguire ulteriori payload, registrare i tasti premuti, eseguire comandi tramite cmd.exe o PowerShell, riavviare o spegnere il sistema, installare un proxy e rimuoversi.

Secondo BI.ZONE, l'uso di tipi di file meno comuni come i JAR consente agli aggressori di bypassare le difese. Inoltre, l'impiego di servizi web legittimi come Pastebin per comunicare con il sistema compromesso rende possibile evitare le soluzioni di sicurezza di rete. Questo evidenzia quanto sia cruciale per le organizzazioni adottare misure di protezione avanzate e mantenersi aggiornate sulle minacce emergenti nel panorama della sicurezza informatica.