1. Home
  2. /
  3. Blog
  4. /
  5. Abbiamo sezionato il Malware...

Abbiamo sezionato il Malware Astaroth, ecco cosa ne è uscito!

 

Esiste un malware insidioso, noto come Astaroth o Guildma, sempre più presente nel panorama aziendale italiano e che, utilizzando linguaggi di programmazione obsoleti, elude i controlli di sicurezza e ruba informazioni sensibili.

Due nostri colleghi hanno smontato passo dopo passo il funzionamento del malware, evidenziandone i livelli di sofisticazione raggiungibili dai cyber criminali e le tecniche utilizzate per evitare la rilevazione.

Cosa può salvare le aziende di fronte ad una attività di attacco mirata che mette in campo competenze in grado di modificare le logiche nel codice di applicazioni legittime, compromettere i processi di un sistema operativo o addirittura sfruttare l’attenzione ridotta dei sistemi di rilevamento nei confronti di vecchi linguaggi di programmazione?

Ovviamente occorre mediare tra costi e benefici: solo bilanciando strumenti automatizzati con analisti esperti ed appassionati con un bagaglio di conoscenze e competenze adeguato è possibile individuare e rispondere alle minacce mirate e sofisticate in modo più dinamico, analizzando in via preventiva comportamenti anomali e attività sospette.

Chi vuole approfondire può leggere il lavoro di analisi e ricerca che vi è stato alla base del “Facciamolo a pezzi! Un breve viaggio nel mondo della Malware Analisys”, lo speech tenuto dai nostri colleghi sul palco dell’ultimo appuntamento del Security Summit a Milano.

Dettaglio: il seguente report analizza approfonditamente la variante 2024 di Astaroth (o “Guildma”), il malware scritto in linguaggio Delphi che ruba informazioni diffuso a partire dal 2017 con campagne di phishing. Il suo sviluppo si basa su vecchi linguaggi di programmazione che ne evitano il rilevamento. I nostri esperti, tramite una tecnica di analisi “controllata per stadio”, hanno eseguito atomicamente ogni stadio del malware al fine di dimostrarne le relative funzionalità. Attraverso questo avvio controllato si è potuto osservare ed analizzare sistematicamente il comportamento del malware in maniera isolata e controllata con l’obiettivo di sezionarlo e comprenderne nel dettaglio i passaggi che compie per eseguire il payload e scovare le tecniche che impiega per ostacolare e rallentare il processo di analisi.

Ecco l’articolo