Pericolo Sorillus RAT, il malware che prende di mira Google Firebase

La sezione Security Operations Center di eSentire, nel corso degli scorsi giorni, ha individuato una nuova minaccia alquanto preoccupante.

Si tratta del trojan di accesso remoto chiamato Sorillus che, sfrutta l’infrastruttura hosting di Google Firebase per effettuare attacchi phishing. La piattaforma, a quanto pare, aiuterebbe gli autori della minaccia per offuscare il proprio agente malevolo.

Su un post del blog di eSentire viene riportato come “è stato avvisato di un codice sospetto scritto nel registro in un endpoint nella rete di un cliente manifatturiero”, si legge nel post sul blog. L’indagine ha identificato Sorillus RAT e una pagina di phishing distribuita utilizzando file e collegamenti HTML attraverso il servizio di hosting Firebase di Google“.

L’attacco è avviato con l’apertura un’e-mail di phishing da parte delle vittime, spesso con argomenti di natura fiscale. Nella mail è presente un allegato che nasconde un payload Java il quale, una volta attivato, installa il malware sul sistema della vittima.

Sorillus RAT utilizza più servizi cloud per rendersi quasi invisibile

L’indagine ha portato alla scoperta anche di un kit di phishing offuscato che si basa in gran parte sull’hosting offerto da Google Firebase. Questa campagna ha utilizzato più servizi cloud, incluso Cloudflare, per nascondere efficacemente le proprie attività illecite.

Come accennato in precedenza, gli aggressori hanno sfruttato la credibilità di queste piattaforme cloud per aggirare i filtri di sicurezza e gli scanner automatici, rendendo difficile il rilevamento. La Threat Response Unit di eSentire ha poi fornito approfondimenti e consigli cruciali per difendersi da attacchi così sofisticati.

Secondo gli esperti, risulta molto importante adottare sistemi di sicurezza stratificati e, nel caso degli antivirus, mantenere gli stessi aggiornati. Inoltre, hanno suggerito di rimuovere Java dai sistemi in cui non è necessario e di porre grande attenzione sull’e-mail sospette (e relativi allegati) che possono giungere nella casella di posta elettronica.