In questo ultimo periodo il CERT-AgID ha condiviso con le organizzazioni accreditate diversi indicatori di compromissione relativi al malware denominato Qarallax veicolato, in diverse occasioni, tramite campagne a tema DHL.

Qarallax è un malware di tipo cross-platform RAT che viene veicolato come archivio JAR e presenta controlli validi per Windows, Linux e macOS. Il codice risulta bene offuscato e piuttosto articolato.

Tra le funzionalità emerse dall’analisi si evince che Qarallax dispone delle seguenti feature:

• controllo della data di esecuzione con scadenza a domenica 30 agosto 2020 dopo le ore 14. Data spostata al 30 settembre 2020 nel terzo step.
• rilevamento della presenza di virtual machine e di software utilizzati per l’analisi o la sicurezza;
• alterazione impostazioni UAC;
• disabilitazione Windows Defender, task manager, ripristino di sistema;
• importazione ed esecuzione di plugin aggiuntivi;
• persistenza garantita in base al sistema operativo compromesso.

Link: Scarica il documento completo (PDF)