Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Nov 17, 2016 Marco Schiaffino Apt, Attacchi, Intrusione, Malware, Minacce, News, RSS, Social engineering, Trojan 0
Se esistesse un patentino per i truffatori informatici, i pirati del gruppo Carbanak dovrebbero averlo di diritto. Dopo aver rubato oltre 1 miliardo di dollari a istituti di credito di tutto il mondo, la gang ha ora cambiato obiettivo e sta prendendo di mira alberghi e ristoranti.
Stando a quanto riportato da Trustwave, nel mirino dei pirati ci sono i computer che controllano i POS (Point Of Sale), che una volta compromessi consentono di sottrarre i dati delle carte di credito dei clienti.
Tutto comincia con una telefonata al servizio clienti della struttura presa di mira. I pirati fingono di lavorare per un’agenzia e spiegano all’operatore che non sono riusciti a portare a termine la procedura di prenotazione online. Possono inviare la richiesta di prenotazione via email?
I cyber-criminali rimangono in linea fino a quando non sono sicuri che la vittima abbia ricevuto il messaggio di posta elettronica e abbia aperto l’allegato. A questo punto attaccano il telefono.
L’allegato è un documento Word, all’interno del quale si nasconde uno script VBS. Il testo del messaggio viene visualizzato correttamente, ma allo stesso tempo lo script avvia la procedura di infezione del computer.
Come prima cosa si collega a Internet per scaricare un altro malware chiamato AdobeUpdateManagementTool.vbs. Questo viene installato sul sistema e la sua presenza viene mascherata usando un’icona di Shockwave Flash.
Da questo momento, il malware è in grado di comunicare con il server Command and Control (C&C) dei pirati attraverso l’invio (ogni 5 minuti) di pacchetti HTTP codificati in base 64 e crittografati con RC4. Questa procedura ha il solo scopo di “informare” il server C&C del fatto che il PC è compromesso e disponibile.
Il traffico di questo tipo, se non si sa cosa cercare, passa facilmente inosservato all’interno di una rete aziendale e non suscita alcun sospetto.
La seconda fase dell’attacco prevede l’installazione di malware più specifico, che i ricercatori di Trustwave hanno identificato come varianti del trojan Carbanak.
Il primo modulo è contenuto in un file chiamato bf.exe, che avvia una seconda istanza di svchost.exe e inietta il suo codice nel processo. A questo punto il malware verifica se sul sistema è installato l’antivirus Kaspersky e cerca di terminarne i processi.
Procede poi a scaricare e installare ulteriori moduli (kldconfig.exe, kldconfig.plug e runmem.wi.exe) che consentono ai pirati di controllare il computer in remoto, rubare email, password e sottrarre i dati delle carte di credito lette dai POS. I dati rubati vengono inviati al server C&C attraverso una comunicazione crittografata tramite la porta 443.
Stando a quanto riportato da Trustwave, i cui ricercatori si sono imbattuti in questo attacco per ben due volte nel mese scorso, la nuova strategia sarebbe agli inizi. Le vittime, la cui identità non viene specificata, sarebbero delle grandi catene di alberghi negli USA.
Non è da escludere, però, che lo stesso malware possa essere usato “a pioggia” su attività di altro genere, magari senza che i criminali impieghino in questi casi la stessa cura nel predisporre il tranello.
Stando all’analisi dei ricercatori, infatti, il primo vettore di attacco non viene rilevato dalla maggior parte degli antivirus, che avrebbero invece qualche speranza di intercettare i moduli secondari. Sempre che siano ancora in funzione…
Mar 14, 2024 0
Mar 01, 2024 0
Feb 22, 2024 0
Feb 15, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...