Si chiama Blindingcan, un nuovo trojan ad accesso remoto (RAT – Remote Access Trojan) proveniente dalla Corea del Nord, ma diffuso soprattutto in Italia perché il gruppo che l’ha creato ha utilizzato server italiani compromessi per diffondere e gestire il malware. Blindingcan può prendere il controllo del computer delle vittime per installare altri malware, modificare programmi oppure leggere e trasferire dati sensibili.
Questo malware ha una particolarità interessante: può rimuoversi dai sistemi precedentemente infettati e cancellare le proprie tracce rendendo estremamente difficile la sua individuazione dopo che questo è penetrato nel sistema. I dettagli sono contenuti nel Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, fornitore di soluzioni di cybersecurity a livello globale.
Come agisce il trojan Blindingcan
Come fatto presente dai ricercatori, il gruppo nordcoreano creatore di Blindingcan ha utilizzato siti web italiani compromessi per comandare e controllare il malware. Essendo un malware di tipo RAT, Blindingcan permette di prendere il controllo del computer delle vittime per eseguire varie attività come l’installazione di altri malware, modificare programmi, acquisire dati sensibili.
La particolarità di Blindingcan sembrerebbe quella di potersi rimuovere dai sistemi e cancellare le proprie tracce in modo molto efficace, rendendolo quindi difficile da individuare una volta penetrato nel sistema, ecco perché è sempre più importante agire in modo preventivo.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce.
Tra le migliori pratiche consigliate per ridurre i rischi di infezione ci sono il costante aggiornamento di sistemi operativi e antivirus, l’impostazione di password sempre più complesse, la consultazione di siti web sicuri, l’acquisizione di maggiore consapevolezza sui rischi per gli utenti, a iniziare dal phishing.
Secondo Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point, i criminali continueranno a utilizzare le minacce esistenti e gli strumenti che hanno a disposizione, e Trickbot è popolare per la sua versatilità e il suo background di successo negli attacchi precedenti.
Anche quando una minaccia di rilievo viene rimossa – argomenta – ce ne sono molte altre che continuano a rappresentare un rischio elevato sulle reti di tutto il mondo, quindi le aziende devono assicurarsi di avere sistemi di sicurezza affidabili per evitare che le proprie reti vengano compromesse e per minimizzare i rischi. Una formazione completa per tutti i dipendenti è fondamentale, così che siano dotati delle competenze necessarie per identificare i tipi di e-mail malevole che diffondono Trickbot e altri malware.