Nuova Backdoor Python: Un Gesto Subdolo per Rubare Credenziali di Navigazione e Cloud

Un recente rapporto di esperti di cybersecurity ha messo in evidenza una nuova minaccia rappresentata da un sofisticato framework di backdoor in Python, denominato DEEP#DOOR. Questo strumento non solo permette di mantenere un accesso persistente ai sistemi compromessi, ma è capace di estrarre un’ampia gamma di informazioni sensibili, tra cui credenziali per servizi di navigazione e cloud.

Come Funziona DEEP#DOOR

Secondo i ricercatori di Securonix, l’attacco inizia con l’esecuzione di uno script batch denominato ‘install_obf.bat’, il quale ha l’obiettivo di disabilitare le misure di sicurezza di Windows. Attraverso questa operazione, il framework riesce a estrarre e attivare un payload Python (‘svc.py’) all’interno del sistema infetto. Questo processo di attacco è realizzato mediante diverse tecniche per garantire che il malware possa persistere, come la creazione di script nella cartella di avvio, chiavi di registro che si attivano all’avvio, e attività programmate.

Malgrado il metodo di distribuzione ancora rimanga non del tutto chiaro, è probabile che questa backdoor venga veicolata attraverso pratiche di phishing, sfruttando tecniche tradizionali di ingegneria sociale per ingannare le vittime. L’allerta è dunque alta, soprattutto per le aziende italiane, che potrebbero diventare obiettivi facili per questo tipo di attacco.

Capacità di Sorveglianza e Rischi Connessi

Una volta attivato, DEEP#DOOR stabilisce una comunicazione con un servizio di tunneling, permettendo ai malintenzionati di eseguire comandi remoti e condurre operazioni di sorveglianza estensive. Tra le sue funzionalità troviamo la registrazione di tasti, monitoraggio degli appunti, cattura di screenshot, accesso alla webcam e persino registrazioni audio ambientali. L’operatività di questo malware si estende anche al furto di credenziali archiviate nei browser più diffusi, come Google Chrome e Mozilla Firefox, oltre a quelle utilizzate per servizi cloud come Amazon Web Services e Google Cloud.

Questi strumenti rappresentano un grave rischio non solo per i singoli utenti, ma anche per le aziende, poiché la perdita di dati sensibili può tradursi in danni economici e reputazionali significativi. È cruciale che le aziende italiane implementino strategie robuste di cybersecurity per difendersi da minacce di questo tipo.

Meccanismi di Evasione e Persistenza

Una delle caratteristiche più allarmanti di DEEP#DOOR è la sua capacità di sfuggire alla rilevazione. Il malware utilizza diverse tecniche per evitare la scoperta, come il rilevamento di sandbox e debugger, la manomissione delle difese di Windows e il bypass di strumenti di sicurezza come Microsoft Defender. Questi meccanismi lo rendono estremamente difficile da rimuovere e da identificare, complicando ulteriormente le operazioni di risposta agli incidenti.

In aggiunta, DEEP#DOOR impiega diversi metodi di persistenza, garantendo che il malware rimanga attivo anche dopo tentativi di rimozione. Creando file negli avvii di Windows e monitorando continuamente la propria presenza, il malware riesce a ricrearsi automaticamente. Questa resilienza lo rende un vero e proprio Trojan di Accesso Remoto (RAT), in grado di compiere operazioni di spionaggio e spostamenti laterali all’interno di ambienti compromessi.

Conclusioni Pratiche

La diffusione di DEEP#DOOR segnala l’evoluzione delle tecniche di attacco dei criminali informatici, specialmente in un contesto in cui l’uso di linguaggi di programmazione interpretati come Python sta crescendo. È fondamentale che le aziende italiane adottino misure di protezione adeguate, come l’aggiornamento dei software di sicurezza, la formazione dei dipendenti riguardo alle pratiche di phishing e la realizzazione di audit regolari della sicurezza. Solo così sarà possibile ridurre il rischio di infezioni e proteggere le informazioni preziose.