GopherWhisper: Il nuovo volto delle minacce informatiche attraverso Outlook, Discord e Slack

Un nuovo gruppo di cybercriminali, conosciuto come GopherWhisper, sta facendo segnare il passo nel panorama della cybersicurezza. I ricercatori di ESET hanno svelato che questo gruppo, ritenuto di origine cinese, sta perpetrando attacchi mirati mediante una varietà di malware. Questi attacchi si focalizzano principalmente su servizi noti come Outlook, Discord e Slack, utilizzati non solo per la comunicazione, ma anche per l’esfiltrazione di dati sensibili. Attualmente, sembra che la loro mira principale siano le istituzioni governative in Mongolia, ma la modalità operativa potrebbe avere ripercussioni anche su soggetti in altre nazioni, inclusa l’Italia.

I malware impiegati da GopherWhisper

ESET ha mappato vari tipi di malware utilizzati da GopherWhisper, iniziando dal più inquietante: LaxGopher. Questa backdoor, realizzata in linguaggio Go, consente al gruppo di comunicare attraverso un server Slack privato, dal quale riceve ordini e scarica ulteriori componenti dannosi. Successivamente, gli esperti hanno identificato altri sei malware essenziali per le operazioni di questo gruppo.

Un altro strumento chiave è JabGopher, che inietta LaxGopher (mascherata sotto forma di whisper.dll) nella memoria del processo di sistema svchost.exe. Il malware RatGopher è un’altra backdoor scritta in Go, che si connette a un server Discord privato per ricevere istruzioni relative al comando e controllo (C&C). Inoltre, si distingue SSLORDoor, un malware scritto in C++ che approfitta della libreria OpenSSL per eseguire comunicazioni riservate attraverso socket raw sulla porta 443. Questo strumento è capace di gestire un ampio ventaglio di comandi, inclusi quelli per gestire file di vario tipo.

Versatilità e impatto delle minacce

Il malware BoxOfFriends utilizza l’API REST di Microsoft 365 Outlook per interagire con le bozze di email, fungendo da canale per le comunicazioni con i server C&C. Inoltre, FriendDelivery, una DLL infetta, serve da loader per BoxOfFriends, amplificando la portata delle operazioni malevoli. Infine, troviamo CompactGopher, un tool versatile che comprime file per un trasferimento rapido su servizi di hosting come file.io.

Attraverso analisi delle credenziali incorporate nei malware, gli esperti di ESET sono riusciti ad accedere a diversi account associati al gruppo GopherWhisper su piattaforme come Slack, Discord e Outlook. Questo ha permesso di ricostruire il panorama delle loro operazioni e di capire come operano nel mondo del cybercrime. La documentazione dettagliata di queste scoperte è disponibile in un report completo, accessibile online.

Conclusione: La Protezione dei Dati è Fondamentale

Con il crescere di minacce come GopherWhisper, è vitale che utenti e aziende, soprattutto in Italia, adottino misure di sicurezza più robuste. Ciò include l’uso di software antivirus aggiornati, l’implementazione di strategie di formazione per il personale e una gestione proattiva delle credenziali. Nonostante GopherWhisper possa apparire come una minaccia focalizzata su un’area geografica specifica, le tecniche impiegate sono universali e possono facilmente essere replicate in contesti diversi. È dunque fondamentale rimanere informati e vigilanti, perché la cybersicurezza è ora più che mai una priorità globale.