Gli esperti dei laboratori Forcepoint hanno individuato un nuovo malware modulare, nello specifico un RAT (remote access trojan) chiamato Felismus capace di nascondersi tramite offuscamento a molti antivirus e dotato di un modulo di auto-aggiornamento.
Il malware si nasconde nel file “AdobeCMS.exe“, cosa che fa pensare ovviamente ad un software legittimo relativo prodotti Adobe. Le comunicazioni con i server Command&Control sono cifrate e vengono utilizzate diversi tipi di cifratura, in base al tipo di messaggio trasmesso.
Le operazioni che il RAT può eseguire sono molteplici, ovvero:
- Eseguire un comando di tipo shell e salvarne il risultato nel disco locale
- scaricare file da un server remoto
- creare e salvare file di testo nella macchina
- Eseguire un comando o un eseguibile
- Eseguire l’upload dei file creati e salvati in un server esterno.
La matrice non sembra inglese, analizzando le connessioni create dal malware sembra che le fonti siano di IP asiatici, anche se i dati dei registranti sono camuffati e non attendibili, considerando questi aspetto e la complessità nell’insieme di questo malware si può assicurare che lo sviluppo è stato fatto da esperti professionisti.
Analisi dettagliate e fonte: Playing Cat & Mouse: Introducing the Felismus Malware | Forcepoint