NANOREMOTE: Malware invisibile su Windows sfrutta Google Drive per spiare e rubare dati

News
Visite: 356

Il panorama della sicurezza informatica si arricchisce di una nuova e insidiosa minaccia: un malware backdoor per Windows denominato NANOREMOTE. Questo malware si distingue per l’utilizzo innovativo dell’API di Google Drive come canale di command-and-control (C2), una tecnica che rende le sue attività di controllo e furto dati particolarmente difficili da individuare dalle difese tradizionali.

Analogie con altri malware e attribuzione

Gli esperti di sicurezza informatica hanno rilevato che NANOREMOTE presenta forti analogie di codice con un altro malware, FINALDRAFT, che sfrutta invece l’API Microsoft Graph per il proprio C2. Queste similitudini suggeriscono una possibile origine comune tra i due malware, attribuiti a un gruppo di minaccia identificato come REF7707, noto anche come Jewelbug o Earth Alux, operante principalmente in scenari di cyber spionaggio contro governi e settori strategici in Asia sudorientale e Sud America.

Tecniche di evasione e gestione avanzata dei trasferimenti

Uno degli aspetti più sofisticati di NANOREMOTE è proprio la sua gestione del canale di comunicazione: i dati e i file vengono trasferiti tra la vittima e l’attaccante attraverso Google Drive, sfruttando le API ufficiali. Ciò consente di mascherare le operazioni malevole tra il traffico legittimo verso il cloud, complicando notevolmente il rilevamento. Il malware integra inoltre un sistema di task management per la gestione avanzata dei trasferimenti, consentendo il download, upload, pausa, ripresa e cancellazione delle operazioni sui file.

Modalità di infezione e funzionalità

L’infezione avviene tramite una catena che include un loader camuffato da componente legittimo di Bitdefender, incaricato di decriptare il payload malevolo e avviare la backdoor. Scritto in C++, NANOREMOTE è progettato per eseguire attività di ricognizione, lanciare file ed eseguire comandi, oltre a trasferire dati sfruttando Google Drive. Il malware comunica anche con un indirizzo IP predefinito, sebbene non instradabile, tramite richieste HTTP POST contenenti dati JSON compressi e cifrati con AES-CBC.

Command handler e codice condiviso

Il vero cuore operativo risiede nei 22 command handler implementati, che permettono all’attaccante di raccogliere informazioni di sistema, manipolare file e directory, eseguire file PE, gestire la cache, scaricare e caricare file da Google Drive e terminare il processo malevolo. La presenza di file e chiavi di cifratura condivise con FINALDRAFT rafforza l’ipotesi di un ambiente di sviluppo con codice comune.

Questa nuova variante rappresenta un esempio di come i gruppi di cybercriminali evolvano costantemente le proprie tecniche, sfruttando infrastrutture cloud popolari per eludere i controlli di sicurezza e ottenere il massimo controllo sui sistemi compromessi.

Pin It
, , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.