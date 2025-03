I ricercatori di Symantec hanno individuato una nuova backdoor custom utilizzata durante gli attacchi effettuati dagli affiliati a RansomHub, noto Ransomware-as-a-Service (RaaS). Betruger è un raro esempio di backdoor multifunzione, in quanto consente diverse attività solitamente eseguite con tool distinti.

Funzionalità di Betruger

L’installazione di un ransomware sul computer delle vittime è sempre l’ultimo stadio dell’attacco. I cybercriminali devono prima accedere al sistema, raccogliere varie informazioni e rubare i dati da inviare al server C2 (command and control). Ciò avviene utilizzando vari tool (anche legittimi) che tuttavia possono lasciare tracce e consentire di rilevare l’intrusione.

Grazie alle numerose funzionalità di Betruger è possibile ridurre al minimo i tool usati durante l’attacco. La backdoor scoperta dal Threat Hunter Team di Symantec può scattare screenshot, registrare i tasti premuti (keylogging), inviare i file al server C2, effettuare la scansione della rete, ottenere privilegi elevati e rubare le credenziali.

La backdoor viene distribuita con i nomi mailer.exe e turbomailer.exe , ma non offre nessuna funzionalità di posta elettronica. È solo un “trucco” per ingannare gli utenti. Bertruger è stata usata recentemente da almeno un affiliato a RansomHub. Quest’ultimo è un RaaS, attivo da febbraio 2024, gestito da un gruppo di cybercriminali noto come Greenbottle. Tra le vittime recenti c’è anche il Bologna FC.

Per disattivare le soluzioni di sicurezza viene solitamente sfruttata la tecnica BYVOD (Bring Your Own Vulnerable Driver). Altri tool usati in attacchi recenti sono: Impacket, Stowaway Proxy, Rclone, ScreenConnect, Mimikatz, NetScan, Atera, Splashtop e TightVNC (molti sono open source).