Il malware è stato creato dal gruppo Sednit, operativo dal 2004. Tale gruppo di hacker sarebbe autore del cyber attacco alla rete televisiva TV5Monde, la perdita di informazioni dell’Agenzia mondiale antidoping (WADA) e di molti altri attacchi informatici. Ad agosto 2019 Sednit ha lanciato una nuova campagna che vede come target le ambasciate e i ministeri degli affari esteri nei paesi dell’Europa orientale e dell’Asia centrale per mezzo di nuove varianti del malware Zebrocy.
Quando un dispositivo viene preso di mira dai componenti di Zebrocy, ha almeno sei componenti dannosi rilasciati sul computer prima di eseguire il payload. Tali attività possono perciò essere rilevate da software di sicurezza informatica. Il documento allegato all’email di phishing è vuoto ma fa riferimento a un modello remoto: wordData.dotm. Il file si trova su Dropbox. L’apertura del documento comporta il download di wordData.dotm e la compromissione del sistema o rete aziendale.
La nuova backdoor di Zebrocy non è scritta in Delphi, ma nel linguaggio di programmazione Go. La backdoor ha varie funzionalità, tra cui la manipolazione dei file come creazione, modifica ed eliminazione, cattura di screenshot ed esecuzione di comandi tramite cmd.exe. Le società di sicurezza informatica consigliano a tutti gli utenti di prestare la massima attenzione prima di aprire gli allegati ricevuti da strani indirizzi email.
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
