Un nuovo virus chiamato ResolverRAT si sta diffondendo in tutto il mondo. Il malware intrappola le aziende del settore sanitario e farmaceutico con e-mail di phishing calibrate. Al termine dell’attacco, orchestra il furto di tutti i dati dal computer infetto. I ricercatori di Morphisec Threat Labs hanno scoperto un nuovo virus che attacca organizzazioni in tutto il mondo. Chiamato ResolverRAT, il malware è un trojan con accesso remoto. Travestito da programma innocuo, il malware consente a un hacker di assumere il controllo remoto di un computer infetto.
Phishing e furto di dati su larga scala
Nella maggior parte degli attacchi registrati dal Morphisec Threat Labs, il virus si diffonde attraverso e-mail di phishing. I dipendenti delle aziende prese di mira ricevono un’e-mail che fa riferimento a violazioni legali o del diritto d’autore. Questi motivi possono destare la curiosità dei bersagli e addormentare il loro sospetto. I “temi allarmanti” utilizzati sono specificamente calibrati per provocare reazioni da parte dei dipendenti delle industrie interessate. I ricercatori hanno scoperto diverse somiglianze con le campagne di phishing che diffondono malware come Rhadamanthys e Lumma.
L’e-mail contenente la trappola contiene un eseguibile per un software HP (Hewlett-Packard). Questa file installerà ResolverRAT nella memoria del computer. Una volta nel sistema, il virus utilizzerà una serie di tattiche per rimanere non rilevabile. Ad esempio, copia i propri file in diverse directory utilizzate da Windows per avviare automaticamente i programmi all’avvio o per memorizzare applicazioni, come le cartelle “Avvio”, “Programmi” o “LocalAppData”.
Soprattutto, esfiltra tutti i dati memorizzati sul computer. Per rimanere discreto, ResolverRAT taglia i file di dimensioni superiori a 1 MB in piccoli pezzi da 16 KB per passare inosservato e fondersi nel normale traffico Internet proveniente dal computer infetto. Di fatto, è in grado di trasferire dati su server remoti senza essere individuato.
Un’operazione di portata mondiale
ResolverRAT prende di mira principalmente le organizzazioni del settore sanitario e farmaceutico. I ricercatori non hanno reso pubblici i nomi delle vittime del malware. Sempre più hacker attaccano il mondo della sanità, prendendo di mira ospedali o cliniche, nella speranza di raccogliere dati medici sensibili. Queste entità sono più propense a pagare un riscatto per evitare la fuga di informazioni sul dark web.
Gli esperti del Morphisec Threat Labs precisano solo che l’iniziale e-mail di phishing è disponibile in diverse lingue, tra cui italiano, ceco, hindi, turco e portoghese. Per questo motivo i ricercatori parlano di un’“operazione di portata mondiale”. I criminali informatici stanno probabilmente cercando di “massimizzare i tassi di infezione attraverso un targeting adeguato”. L’ultima ondata di attacchi è stata osservata il 10 marzo 2025, secondo il rapporto. Non si sa chi siano gli hacker dietro l’attacco informatico.
