I malware dei cyber criminali si stanno evolvendo e risultano ancora più pericolosi dei loro predecessori, ora sono disponibili per chiunque li voglia usare, grazie a una nuova piattaforma chiamata Dark Utilities. E’ un servizio nascente che ha attecchito abbastanza nel mondo dei cyber criminali, si contano già 3.000 utenti, che si sono avvalsi della sua capacità di fornire servizi di comando e controllo (C2), con l’obiettivo di requisire i sistemi compromessi.
“È commercializzato come mezzo per consentire l’accesso remoto, l’esecuzione di comandi, attacchi DDoS (Distributed Denial-of-Service, ndr) e operazioni di mining di criptovalute su sistemi infetti“. Si spiega così Cisco Talos, in un interessante report condiviso con The Hacker News.
Dark Utilities, emerso all’inizio del 2022, è pubblicizzato come “C2-as-a-Service” (C2aaS), consente un libero accesso all’infrastruttura ospitata su clearnet, nonché alla rete TOR e ai payload associati, con supporto per Windows, Linux, e implementazioni basate su Python. Tutto a soli 9,99 euro.
Come funziona la Dark Utilities
Agli utenti autenticati sulla piattaforma, viene presentata una dashboard che consente di generare nuovi payload su misura per uno specifico sistema operativo, che possono quindi essere distribuiti ed eseguiti sugli host delle vittime. Inoltre, agli utenti viene fornito un pannello amministrativo per eseguire comandi sulle macchine, sotto il loro controllo, dopo aver stabilito un canale C2 attivo, garantendo di fatto a chi vuole lanciare un malware il pieno accesso ai sistemi.
L’idea maligna e malvagia è quella di consentire agli autori delle minacce di prendere di mira più piattaforme, senza richiedere sforzi di sviluppo significativi. Ai propri clienti vengono estesi perfino il supporto tecnico e l’assistenza, tramite Discord e Telegram.
L’allarme che infonde preoccupazione viene lanciato direttamente dai ricercatori: “Dato il costo relativamente basso rispetto alla quantità di funzionalità offerte dalla piattaforma – spiegano – è probabilmente interessante per gli autori di minacce che tentano di compromettere i sistemi, senza richiedere loro di creare la propria implementazione C2 all’interno dei loro payload di malware“.
Gli artefatti del malware vengono, infine, ospitati all’interno della soluzione IPFS (InterPlanetary File System) decentralizzata, rendendoli resilienti alla moderazione dei contenuti o all’intervento delle forze dell’ordine in un modo simile all'”hosting a prova di proiettile.
Così Edmund Brumaghin, ricercatore di Talos: “L’IPFS – sottolinea, sempre in un’intervista The Hacker News è attualmente oggetto di abuso da parte di una varietà di autori di minacce che lo stanno utilizzando per ospitare contenuti dannosi come parte di campagne di phishing e distribuzione di malware”. Come se non bastassero già i tantissimi malware presenti sia su Android, sia su iOS anche se in una quantità minore.
