Toohash: nuovi spyware contro le aziende

La campagna, nata in estremo oriente, colpisce le imprese con file infetti mascherati da documenti Office o pubblicità

I G DATA Security Labs hanno scoperto una nuova campagna spyware: è l’operazione “Toohash”, un attacco condotto contro aziende e organizzazioni di vario tipo. Lo scopo è rubare informazioni sensibili alle imprese target. Utilizzando un approccio di tipo “spear-phishing” – una tipologia più raffinata di phishing con un movente personale e mirato – i criminali hanno spedito e-mail aventi come allegati dei documenti di Microsoft Office infetti.

Questi documenti, manipolati e spacciati per pubblicità o curriculum vitae, sono stati inviati soprattutto al dipartimento di risorse umane delle aziende colpite. La maggior parte dei file scoperti proviene da Taiwan, ma l’analisi di G DATA lascia supporre che questo spyware sia stato utilizzato su obiettivi situati anche in altre regioni della Cina. Parte dei documenti in questione, infatti, è scritta in un cinese semplificato, parlato principalmente nella Cina continentale. Le soluzioni di sicurezza dei Security Labs hanno identificato i malware come Win32.Trojan.Cohhoc.A e Win32.Trojan.DirectsX.A.
Una volta rubati, i dati cui gli hacker hanno accesso diventano molto ambiti, soprattutto nel mercato del business aziendale. Importanti piani di costruzione, dati dei clienti, business plan, email e altri dati sensibili sono vitali per un’azienda ma possono diventarlo anche per la concorrenza.

Gli acquirenti dei dati rubati vengono scoperti velocemente e di norma si tratta proprio di aziende concorrenti e servizi segreti.
“Il malware negli allegati delle email sfrutta specificatamente una vulnerabilità in Microsoft Office e scarica un tool di accesso remoto sui computer infettati”, spiega Ralf Benzmüller, Head of G DATA SecurityLabs. Le tipologie di malware contengono noti componenti usati nello spionaggio, come moduli per l’esecuzione automatica di codici, file listing o furti di dati.

La campagna ha inoltre identificato 75 server di controllo usati per controllare i computer infetti, situati per la maggior parte negli Stati Uniti o a Hong Kong. La console di amministrazione che i criminali usano, invece, è in parte in cinese e in parte in inglese.