Bratislava – La Eset, celebre azienda produttrice di antivirus, è riuscita ad individuare nuovi componenti del malware Zebrocy, utilizzato e diffuso dal gruppo hacker Sednit operativo in tutto il mondo dal 2004. Gli ultimi obiettivi del gruppo, da agosto scorso, sono stati ministeri degli esteri e ambasciate dei paesi dell’Europa orientale e di varie zone dell’Asia centrale. Il malware Zebrocy quando prende di mira un dispositivo rilascia almeno sei componenti dannosi nel computer della vittima prima dell’esecuzione del payload finale. Il documento allegato all’email di phishing è vuoto, ma fa riferimento a un modello remoto, il wordData.dotm. La nuova ondata di attacchi utilizza la versione più recente del virus, il Nim, un semplice binario predisposto per scaricare ed eseguire altri componenti, a cui però sono stati aggiunti due dettagli. Il primo è come trucco anti-sandbox e verifica che la prima lettera del file eseguito non sia cambiata. Il secondo è un tipo di offuscamento in cui l’operatore sostituisce le lettere “placeholder” in una stringa con quelle corrette, a offset definiti.Così la nuova backdoor dello Zebrocy non è scritta come al solito in Delphi, ma in Golang e ciò per attivare varie funzionalità, tra cui la manipolazione dei file come creazione, modificando ed eliminando funzionalità di cattura screenshot e esecuzione di comandi tramite cmd.exe.