Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Giu 12, 2017 Marco Schiaffino Malware, Minacce, News, RSS, Trojan 0
C’è un aspetto della sicurezza informatica che è tutto sommato rassicurante: le previsioni dei ricercatori si avverano quasi sistematicamente. Ogni volta che viene individuata una vulnerabilità è solo quesitone di giorni prima che qualche pirata informatico riesca a sfruttarla per fare danni.
A confermare la regola, questa volta, è SambaCry, un trojan individuato dai ricercatori di Kaspersky e che sfrutta una falla di sicurezza di Samba, la piattaforma open source che offre funzioni di condivisione di file e stampanti a livello di rete locale.
La vulnerabilità (CVE-2017-7494) è stata individuata alla fine di maggio e sfrutta una falla nel Server Message Block esattamente come ha fatto WannaCry, il ransomware che il mese scorso ha colpito centinaia di migliaia di computer in tutto il mondo.
Meno di una settimana dopo (ma il report è stato pubblicato solo venerdì) Kaspersky ha individuato SambaCry. Il malware agisce in maniera estremamente metodica. Per prima cosa verifica la possibilità di accedere in modalità scrittura sul disco, copiando al suo interno un file di testo composto da 8 caratteri casuali.
Se il tentativo ha successo, SambaCry cancella il file e procede con l’attacco. Il payload viene caricato sotto forma di un plugin per Samba che agisce con privilegi di super-utente ed è residente esclusivamente in memoria.
Il passo successivo prevede l’upload di due file distinti. Il primo è cblRWuoCc.so, che i ricercatori Kaspersky hanno ribattezzato con il nome di EternalMiner. Il suo compito è quello di installare un popolare software di mining chiamato cpuminer.
Il programma, in pratica, sfrutta la potenza di calcolo della macchina infetta per generare Monero, una criptovaluta simile a Bitcoin che sta diventando molto popolare tra i cyber-criminali. Monero, infatti, ha caratteristiche tecniche che promettono di garantire l’assoluto anonimato nelle transazioni, rendendola una valuta ideale per operazioni illegali.
Stando a quanto riportato dai ricercatori Kaspersky, per il momento l’operazione non ha portato ai cyber-criminali grandi guadagni: nel wallet su cui vengono “caricati” gli XMR (la sigla delle monete di Monero – ndr) ci sarebbero al momento l’equivalente di 5.400 dollari.
Considerato che il trojan sarebbe attivo da almeno un mese, non si tratta di cifre entusiasmanti. Non è escluso, però, che i pirati informatici che hanno creato SambaCry trovino altri modi per guadagnare denaro dalla loro attività.
Ad aiutarli potrebbe essere INAebsGB.so, il secondo file che SambaCry carica sulla macchina infetta. Si tratta di una reverse shell, che consente loro di fare letteralmente quello che vogliono come scaricare ed eseguire codice in remoto o cancellare tutti i dati presenti sul server.
L’unica consolazione è che il numero di server vulnerabili all’attacco non è così elevato. Al momento dell’annuncio della vulnerabilità, i ricercatori di Rapid7 avevano individuato circa 100.000 server vulnerabili all’attacco. Dopo l’annuncio e la pubblicazione degli aggiornamenti che correggono il bug, questo numero dovrebbe essersi drasticamente ridotto. Si spera…
Apr 24, 2024 0
Apr 23, 2024 0
Apr 16, 2024 0
Apr 12, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...