Indice dell'articolo

Rat – remote access trojan: cosa distingue questi malware e come proteggersi

remote access trojan | rat

Quando si parla di malware non si può mai abbassare la guardia: questi software invasivi e volutamente dannosi per i sistemi informatici, tanto da arrivare in alcuni casi a compromettere le funzioni vitali di un computer, si ripropongono spesso con nuove varianti.

Come è successo recentemente con FatalRAT, un nuovo remote access trojan in grado di nascondersi nei file di installazione di applicazioni legittime e non essere così frenato dai software per la sicurezza.

Questo trojan è stato realizzato da cyber criminali che stanno distribuendo gli installer manomessi sul web, in modo da infettare un numero sempre più alto di utenti. L’obiettivo di questo malware è eseguire le istruzioni che gli vengono date per esfiltrare dati dai dispositivi che infetta.

Alla luce di attacchi così diversificati, sia nelle metodologie sia nelle tipologie di virus coinvolti, la cyber security in azienda va ripensata e deve evolversi. È necessario giocare d’anticipo, lavorando sui propri sistemi di difesa e invitando collaboratori e dipendenti a segnalare immediatamente eventuali anomalie.

Conoscere tutte le potenziali minacce della rete è fondamentale per proteggersi: in questo articolo, cerchiamo di capire che cosa distingue i remote access trojan (RAT) dagli altri malware  e come evitare i loro pericolosi attacchi.

remote access trojan | rat attacchi social engineering | social engineering cos’è | tecniche social engineering

Malware RAT: che cos’è e come riconoscere un remote access trojan

Un remote access trojan è un malware che, nel momento in cui infetta un pc, consente all’hacker di avere il pieno controllo sulla macchina e gli permette di svolgere qualsiasi tipo di azione, all’insaputa del proprietario.

È molto simile ai programmi di accesso remoto che vengono utilizzati, ovviamente in modo legale, per dare supporto e assistenza tecnica a un utente. I RAT riescono così non solo a spiare e controllare in tempo reale ciò che si sta facendo sul pc, ma possono anche tranquillamente aprire documenti privati, rubare dati, scaricare software e addirittura distruggere il sistema di quel computer.

Il RAT malware si differenzia dunque per la sua capacità di dare completa libertà all’hacker sul computer infettato, a differenza di altri malware che hanno invece precisi scopi (ad esempio, i ransomware bloccano l’accesso al pc fino al pagamento di un riscatto, mentre i keylogger registrano tutto ciò che viene digitato).

Riconoscere questa tipologia di trojan è molto difficile. Innanzitutto, come quasi tutti i malware, anche questi riescono a insinuarsi all’interno dei pc attraverso file dall’aspetto legittimo come:

  • gli allegati di una mail;
  • download di applicazioni;
  • file di download di videogiochi;
  • annunci pop-up e pagine web.

Inoltre i RAT non rallentano il pc e difficilmente gli hacker faranno trapelare la loro presenza spostando il cursore del mouse sullo schermo o eliminando accidentalmente dei file. Anche nel caso in cui il cyber criminale abbia commesso una mossa avventata, avendo il pieno controllo del pc può restare per un periodo di tempo fermo e poi riprendere le azioni, così da non far insospettire l’utente.

Per questo non sono rari i casi in cui passano mesi o addirittura anni prima che ci si accorga che il proprio pc ha contratto un RAT!

La tecnologia dietro a un RAT: come agisce questo malware?

Il funzionamento di un RAT è molto semplice da comprendere: per riuscire a prendere il controllo di un pc da remoto utilizza un’architettura client-server e sfrutta tre componenti:

  1. il server, che viene installato sul computer infettato;
  2. il client, cioè il computer dell’hacker;
  3. lo scanner, installato anch’esso sul pc della vittima per rilevare eventuali “porte aperte”, cioè quei software più vulnerabili, che permettono la comunicazione con l’esterno.

Lo scanner ha il compito di segnalare la presenza di una porta aperta: quando questa viene trovata, avvia la comunicazione tra il client e il server e di conseguenza, l’hacker ha libero accesso al pc della vittima.

Come anticipato, i RAT non si limitano a svolgere un’azione specifica ma, avendo il controllo completo dell’apparecchio in cui si sono infiltrati, possono gestirlo come se fossero gli amministratori e:

  • controllare la webcam, il microfono e altre periferiche;
  • controllare il desktop;
  • gestire i file, modificandoli, eliminandoli o addirittura inserendo in essi contenuti malevoli;
  • controllare i movimenti sulla tastiera, ottenendo così le sequenze di tasti utilizzate.

Tutto ciò può avvenire non solo su un singolo pc, ma ci possono essere attacchi RAT su intere reti che, all’insaputa degli utenti, vengono controllate in modo illecito, mettendo in pericolo la sicurezza dei dati.

sicurezza informatica | vulnerability assessment e penetration test| cybersecurity | firewall aziendale | ransomware | remote access trojan | gestire password aziendale | phishing cos’è

Come difendere la rete di computer aziendale dai Remote Access Trojan?

Purtroppo è molto difficile individuare la presenza di un remote access trojan e spesso questi malware riescono a eludere i software di controllo e sicurezza installati sui computer, come firewall e antivirus.

Diventa quindi importantissimo lavorare sulla prevenzione e proporre a dipendenti e collaboratori una formazione di security awareness, affinché tutti siano consapevoli delle minacce della rete, dei gravi danni che possono causare i virus informatici e delle buone pratiche generali da attuare per evitare pericoli.

In particolare, per evitare che un pc venga infettato da un remote access trojan è necessario:

  • non scaricare né aprire gli allegati delle mail, a meno che non si conosca il mittente;
  • aggiornare sempre i browser e i sistemi operativi;
  • aggiornare gli antivirus;
  • non scaricare software e applicazioni da fonti non ritenute sicure;
  • non installare applicativi terzi proposti senza apparente motivo.

È poi importante monitorare la velocità della connessione: se si sospetta di aver contratto un RAT e la connessione appare rallentata senza motivo, questo potrebbe essere un segnale di conferma. Il trojan, infatti, utilizza per la sua attività di trasmissione dati all’hacker la larghezza della banda della rete internet.

Un altro consiglio è quello di tenere d’occhio il task manager del proprio sistema operativo: se si notano dei processi sconosciuti, che non si riconoscono, anche questa molto probabilmente è la conferma che il computer è stato infettato.

Oltre a mantenere comportamenti responsabili per diminuire al massimo il rischio, è necessario aver installato sulla propria rete un anti malware all’avanguardia e mantenerlo con le firme delle definizioni del malware costantemente aggiornate.

Infine, se sospetti che la tua rete di pc sia stata colpita da un remote access trojan, rivolgiti il prima possibile a professionisti esperti nel settore della sicurezza informatica: soltanto così sarà possibile far rientrare la situazione di pericolo e salvaguardare i dati e la privacy degli utenti.

Proteggi i tuoi dati con una guida completa e gratuita!

Scarica la Checklist essenziale per la sicurezza informatica della tua azienda

Call Now Button