Kaspersky, la famosa società di sicurezza russa, ha pubblicato un report su The Mask (chiamato anche Careto), un potete malware molto complesso che è stato in circolazione sino a Gennaio 2014.

Chi ha infettato?

Careto è un malware rivolto ad obiettivi di alto livello come:
  • Uffici diplomatici e ambasciate
  • Società energetiche, gas e petrolio
  • istituti di ricerca
  • Private equity
  • Attivisti
Durante la sua attività ha fatto vittime in 31 paesi per un totale di più di 1000 IP. Ecco la lista dei paesi coinvolti: Algeria, Argentina, Belgio, Bolivia, Brasile, Cina, Colombia, Costa Rica, Cuba, Egitto, Francia, Germania, Gibilterra, Guatemala, Iran, Iraq, Libya, Malesia, Messico, Morocco, Norvegia, Pakistan, Polonia, Sud Africa, Spagna, Svizzera, Tunisia, Turchia, Gran Bretagna, Stati Uniti e Venezuela.

Minaccia multi piattaforma

Ma perché parliamo di Careto su Marco's Box? Semplice, perché questo malware, che include un rookit ed un bootkit, è in grado di colpire sistemi operativi Windows (sia 32-bit che 64-bit), Mac OS X e Linux. 
Secondo Kaspersky, sui server sono stati trovati alcuni moduli che sembrano esser stati progettati appositamente per Linux anche se non sono stati in grado di trovare la backdoor Linux.
Gli analisti di Kaspersky non escludono che Careto possa infettare anche sistemi operativi mobili come Android e iOS.

Ma come agisce Careto?

Il funzionamento di Careto è semplice. L'infezione parte con l'invio di messaggi email di phishing con un link ad un sito malevolo camuffato. Il sito malevolo contiene una serie di exploit in grado di identificare il tipo di computer e di infettarlo. Dopo aver infettato il computer l'utente viene indirizzato al sito web benigno che era indicato nella mail infetta. Il visitatore non si accorge dunque di nulla. I siti coinvolti sono quelli dei principali quotidiani online come il Guardian o il Washington Post.

Cosa fa Careto una volta infettato una macchina?

Il malware raccoglie diversi tipi di documenti dal sistema infetto gra cui le chiavi di crittografia, le configurazioni VPN, chiavi SSH e file RDP. Ci sono anche diverse estensioni sconosciute che i tecnici Kaspersky non sono stati in grado di identificare e che molto probabilmente sono correlati a strumenti di crittografia utilizzati da militari e governi.

Ecco la lista completa dei file raccolti dalle configurazioni che abbiamo analizzato:

*.AKF,*.ASC,*.AXX,*.CFD,*.CFE,*.CRT,*.DOC,*.DOCX,*.EML,
*.ENC,*.GMG,*.GPG,*.HSE,*.KEY,*.M15,*.M2F,*.M2O,*.M2R,*.MLS,*.OCFS,
*.OCU,*.ODS,*.ODT,*.OVPN,*.P7C,*.P7M,*.P7Z,*.PAB,
*.PDF,*.PGP,*.PKR,*.PPK,*.PSW,*.PXL,*.RDP,*.RTF,*.SDC,*.SDW,
*.SKR,*.SSH,*.SXC,*.SXW,*.VSD, *.WAB,*.WPD,*.WPS,*.WRD,*.XLS,*.XLSX

Come potete vedere intercetta anche i file di Microsoft Office e i formati aperti ODT e ODS.

Per quanto tempo ha agito?

Le prime versioni di Careto sono state compilate nel 2007. Il malware è stato attivo sino a Gennaio 2014; i server sono stati chiusi durante le indagini dei tecnici Kaspersky, questo significa che chi ha realizzato Careto si sarà accorto delle indagini in corso.

Chi ha realizzato Careto?

Vista la complessità del malware nonché il tipo di obiettivi ai quali era rivolto si presuppone che Careto sia stato realizzato da professionisti, molto probabilmente si tratta di qualche Stato.


Maggiori info su The Mask li potete trovare ai seguenti indirizzi: