Preiscriviti ora al corso Ethical Hacker! Scopri di più
Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
AtlasCross RAT colpisce l’Asia: domini falsi e typosquatting rubano accessi con un trojan remoto “fileless”
Una nuova campagna di cyber attacchi in Asia sta prendendo di mira utenti di lingua cinese attraverso domini falsi e tecniche di typosquatting che imitano software e servizi popolari. Lo scopo è distribuire AtlasCross RAT, un remote access trojan finora non documentato, capace di ottenere controllo remoto e mantenere accesso persistente ai sistemi compromessi.
I siti malevoli si presentano come portali ufficiali di client VPN, app di messaggistica cifrata, strumenti di videoconferenza, tracker di criptovalute e applicazioni per e-commerce, inducendo le vittime a scaricare archivi ZIP con installer apparentemente legittimi.
Catena di infezione e tecnica fileless
La catena di infezione sfrutta pagine esca che portano al download di un pacchetto contenente un installer alterato e una applicazione esca reale. In uno scenario osservato, il dropper rilascia un binario Autodesk trojanizzato che avvia un loader in shellcode. Questo componente decifra una configurazione in stile Gh0st RAT per estrarre i dettagli di command and control e poi scarica uno shellcode di secondo stadio via TCP, portando infine all’esecuzione in memoria di AtlasCross RAT. Questa esecuzione fileless rende più difficile l’identificazione tramite controlli tradizionali basati su file.
Domini di consegna e certificati rubati
Un elemento chiave della campagna è l’uso di 11 domini di consegna confermati, registrati in gran parte nello stesso giorno, segnale di una pianificazione deliberata. Tra i nomi osservati compaiono imitazioni di Zoom, Signal, Telegram, Microsoft Teams, Surfshark VPN e altri servizi, con varianti studiate per sembrare autentiche a un controllo rapido. Un ulteriore fattore di credibilità è l’impiego dello stesso certificato di firma del codice Extended Validation rubato, utile per ridurre i sospetti e superare alcuni controlli di sicurezza.
Caratteristiche tecniche di AtlasCross RAT
Dal punto di vista tecnico AtlasCross RAT integra un motore di esecuzione PowerShell nativo in C o C++ che ospita direttamente il runtime .NET nel processo del malware e disabilita AMSI, ETW, Constrained Language Mode e ScriptBlock logging prima di eseguire comandi. Il traffico C2 risulta cifrato con ChaCha20 usando chiavi casuali per pacchetto generate con hardware RNG. Tra le capacità figurano DLL injection mirata su WeChat, hijacking di sessioni RDP, terminazione attiva di connessioni legate a prodotti di sicurezza cinesi, operazioni su file e shell e persistenza tramite attività pianificate.
Attribuzione e contesto operativo
La campagna è collegata a un gruppo criminale noto per evolvere rapidamente strumenti e tecniche, combinando operazioni opportunistiche e azioni più sofisticate in diversi paesi asiatici, con vettori che includono siti di strumenti falsi, phishing e canali di messaggistica.