Neptune RAT diffuso attraverso YouTube, Telegram e GitHub

I ricercatori della società di cybersecurity CYFIRMA hanno scoperto un nuovo e altamente sofisticato malware, noto come Neptune RAT, che si sta rapidamente diffondendo su piattaforme social come GitHub, Telegram e YouTube, rappresentando una minaccia significativa per gli utenti Windows in tutto il mondo, sia per individui che per organizzazioni.

Questo Trojan di Accesso Remoto (RAT), descritto anche come il “RAT più avanzato”, è dotato di una suite di funzionalità dannose, tra cui un clipper di criptovalute, un raccoglitore di password, distruzione del sistema, distribuzione di ransomware, monitoraggio live del desktop e la capacità di disabilitare il software antivirus, ecc., rendendolo una minaccia estremamente seria.

Canali di Distribuzione e Metodo di Infezione

Secondo CYFIRMA, i creatori del Neptune RAT (scritto in Visual Basic .NET) hanno reso disponibile l’ultima versione del software gratuitamente sulle piattaforme social senza codice sorgente. Gli sviluppatori hanno deliberatamente offuscato i file eseguibili per ostacolare l’analisi del malware.

Sebbene lo sviluppatore lo presenti come una versione gratuita e affermi che è destinato a “scopi educativi ed etici”, accenna a una versione più avanzata e a pagamento disponibile dietro un paywall, sollevando significative preoccupazioni per la sicurezza date le modalità di distribuzione e il potenziale abuso.

Neptune RAT ha la capacità di generare comandi PowerShell diretti (utilizzando irm e iex), consentendo una consegna e un’esecuzione senza soluzione di continuità. Utilizza piattaforme come GitHub e API come catbox.moe per ospitare script e file dannosi. Inoltre, l’integrazione di caratteri arabi e emoji per sostituire le stringhe originali rende ancora più difficile l’analisi.

Capacità del Malware

Neptune RAT vanta diverse funzionalità pericolose, come:

Furto di Credenziali: È in grado di estrarre credenziali o dettagli di accesso da oltre 270 applicazioni, tra cui browser web, social media e piattaforme finanziarie.

Clipping di Criptovalute: Monitora l’attività degli appunti per rilevare indirizzi di portafogli di criptovalute e li sostituisce con quelli controllati dagli attaccanti, reindirizzando i fondi senza la conoscenza della vittima.

Distribuzione di Ransomware: Una volta attivato, il Neptune RAT cripta i file sul sistema della vittima e richiede un riscatto per il loro rilascio, tenendo di fatto i dati in ostaggio.

Distruzione del Sistema: Contiene funzionalità che possono persino corrompere componenti di sistema come il Master Boot Record, rendendo il dispositivo infetto inoperabile.

Tecniche di Evasione: Utilizza metodi anti-analisi, come il rilevamento di macchine virtuali (VM), e stabilisce più metodi di persistenza attraverso modifiche al registro e al Task Scheduler per garantire che possa mantenere il controllo a lungo termine sui sistemi compromessi.

Misure di Protezione

Per proteggersi da qualsiasi potenziale minaccia proveniente da Neptune RAT, sia gli individui che le organizzazioni possono seguire misure protettive, come evitare di scaricare software o cliccare su link provenienti da fonti non affidabili, specialmente su piattaforme come GitHub, Telegram e YouTube;

Assicurarsi di aggiornare regolarmente Windows e tutte le app installate per correggere le vulnerabilità note; utilizzare software antivirus e anti-malware di buona reputazione che possano rilevare e bloccare minacce avanzate.

Eseguire regolarmente il backup dei dati critici per garantire il recupero in caso di attacco; e rimanere informati sulle minacce emergenti e praticare abitudini di navigazione e download sicure.

Per ulteriori informazioni su Neptune RAT, puoi visitare il sito web di CYFIRMA qui.