Scoperto un nuovo malware modulare molto complesso: Felismus

Gli esperti dei laboratori Forcepoint hanno individuato un nuovo malware modulare, nello specifico un RAT (remote access trojan) chiamato Felismus capace di nascondersi tramite offuscamento a molti antivirus e dotato di un modulo di auto-aggiornamento. 

cyber 2120014 1280 - Scoperto un nuovo malware modulare molto complesso: Felismus
Il malware si nasconde nel file “AdobeCMS.exe“, cosa che fa pensare ovviamente ad un software legittimo relativo prodotti Adobe. Le comunicazioni con i server Command&Control sono cifrate e vengono utilizzate diversi tipi di cifratura, in base al tipo di messaggio trasmesso. 
Le operazioni che il RAT può eseguire sono molteplici, ovvero:

  • Eseguire un comando di tipo shell e salvarne il risultato nel disco locale
  • scaricare file da un server remoto
  • creare e salvare file di testo nella macchina
  • Eseguire un comando o un eseguibile 
  • Eseguire l’upload dei file creati e salvati in un server esterno. 

La matrice non sembra inglese, analizzando le connessioni create dal malware sembra che le fonti siano di IP asiatici, anche se i dati dei registranti sono camuffati e non attendibili,  considerando questi aspetto e la complessità nell’insieme di questo malware si può assicurare che lo sviluppo è stato fatto da esperti professionisti. 

Analisi dettagliate e fonte: Playing Cat & Mouse: Introducing the Felismus Malware | Forcepoint

(Visited 5 times, 1 visits today)