C'è un potente gruppo di cyberspionaggio che opera attraverso una famiglia di malware e che ha attaccato obiettivi governativi, militari e organi di stampa ucraini. A scoprirlo è stata Eset, società specializzata in sicurezza informatica, che lo ha reso noto diffondendo una relazione sull'operazione chiamata Potao Express che prende il nome, appunto, dal malware Win32/Potao utilizzato per gli attacchi.
La famiglia Win32/Potao è composta da trojan rilevati soprattutto in Ucraina, Georgia e Russia e che sono stati utilizzati anche per spiare i vertici di MMM, sistema di marketing multi livello operante in Russia e Ucraina. Potao, ricorda Eset, non è nuovo ed è stato utilizzato per la prima volta tra il 2011 e il 20012, rimanendo poi silente fino al 2013. Tra il 2014 e il 2015 c'è stato un aumento significativo delle infezioni rilevate. Si tratta di un trojan appositamente progettato per rubare le password e le informazioni sensibili delle vittime ed inviarle ad un server remoto controllato dai cyber criminali. Le tecniche di adescamento utilizzate hanno evidenziato attacchi mirati principalmente attraverso l'invio di messaggi sms personalizzati contenenti link fraudolenti, a testimonianza che i cybercriminali conoscevano i nomi delle vittime e il numero di cellulare ad esse associato.
I ricercatori di Eset hanno individuato anche una connessione tra Potao e una versione russa del popolare software di crittografia open source ormai fuori produzione TrueCrypt, che a sua volta è collegato al sito truecryptrussia.ru. Quest’ultimo, spiega Eset, non solo ha fornito in alcuni casi una versione del software infetta da malware, ma è anche servito come centro di comando e controllo per la backdoor installata sui computer attaccati.
.jpg)
