Aggiornamenti recenti Gennaio 31st, 2023 6:00 PM
Nov 17, 2016 Marco Schiaffino Apt, Attacchi, Intrusione, Malware, Minacce, News, RSS, Social engineering, Trojan 0
Se esistesse un patentino per i truffatori informatici, i pirati del gruppo Carbanak dovrebbero averlo di diritto. Dopo aver rubato oltre 1 miliardo di dollari a istituti di credito di tutto il mondo, la gang ha ora cambiato obiettivo e sta prendendo di mira alberghi e ristoranti.
Stando a quanto riportato da Trustwave, nel mirino dei pirati ci sono i computer che controllano i POS (Point Of Sale), che una volta compromessi consentono di sottrarre i dati delle carte di credito dei clienti.
Tutto comincia con una telefonata al servizio clienti della struttura presa di mira. I pirati fingono di lavorare per un’agenzia e spiegano all’operatore che non sono riusciti a portare a termine la procedura di prenotazione online. Possono inviare la richiesta di prenotazione via email?
I cyber-criminali rimangono in linea fino a quando non sono sicuri che la vittima abbia ricevuto il messaggio di posta elettronica e abbia aperto l’allegato. A questo punto attaccano il telefono.
L’allegato è un documento Word, all’interno del quale si nasconde uno script VBS. Il testo del messaggio viene visualizzato correttamente, ma allo stesso tempo lo script avvia la procedura di infezione del computer.
Sullo schermo della vittima compare una generica richiesta di prenotazione. Ma i pirati hanno già messo giù il telefono…
Come prima cosa si collega a Internet per scaricare un altro malware chiamato AdobeUpdateManagementTool.vbs. Questo viene installato sul sistema e la sua presenza viene mascherata usando un’icona di Shockwave Flash.
Da questo momento, il malware è in grado di comunicare con il server Command and Control (C&C) dei pirati attraverso l’invio (ogni 5 minuti) di pacchetti HTTP codificati in base 64 e crittografati con RC4. Questa procedura ha il solo scopo di “informare” il server C&C del fatto che il PC è compromesso e disponibile.
Il traffico di questo tipo, se non si sa cosa cercare, passa facilmente inosservato all’interno di una rete aziendale e non suscita alcun sospetto.
La seconda fase dell’attacco prevede l’installazione di malware più specifico, che i ricercatori di Trustwave hanno identificato come varianti del trojan Carbanak.
Il primo modulo è contenuto in un file chiamato bf.exe, che avvia una seconda istanza di svchost.exe e inietta il suo codice nel processo. A questo punto il malware verifica se sul sistema è installato l’antivirus Kaspersky e cerca di terminarne i processi.
Il malware prende di mira avp.exe e avpui.exe. Sono processi che fanno riferimento a Kaspersky Antvirus.
Procede poi a scaricare e installare ulteriori moduli (kldconfig.exe, kldconfig.plug e runmem.wi.exe) che consentono ai pirati di controllare il computer in remoto, rubare email, password e sottrarre i dati delle carte di credito lette dai POS. I dati rubati vengono inviati al server C&C attraverso una comunicazione crittografata tramite la porta 443.
Stando a quanto riportato da Trustwave, i cui ricercatori si sono imbattuti in questo attacco per ben due volte nel mese scorso, la nuova strategia sarebbe agli inizi. Le vittime, la cui identità non viene specificata, sarebbero delle grandi catene di alberghi negli USA.
Non è da escludere, però, che lo stesso malware possa essere usato “a pioggia” su attività di altro genere, magari senza che i criminali impieghino in questi casi la stessa cura nel predisporre il tranello.
Stando all’analisi dei ricercatori, infatti, il primo vettore di attacco non viene rilevato dalla maggior parte degli antivirus, che avrebbero invece qualche speranza di intercettare i moduli secondari. Sempre che siano ancora in funzione…
Nov 24, 2022 0
Nov 17, 2022 0
Ott 13, 2022 0
Set 26, 2022 0
Gen 31, 2023 0
Gen 31, 2023 0
Gen 30, 2023 0
Gen 30, 2023 0
Gen 30, 2023 0
Experian ha pubblicato il Data Breach Industry Forecast, un...Gen 30, 2023 0
Yahoo è stato il brand più impersonato negli attacchi di...Gen 27, 2023 0
Trend Micro ha pubblicato il nuovo report Future/Tense:...Gen 26, 2023 0
Unit 42, il Threat Intelligence Team di Palo Alto Networks...Gen 23, 2023 0
L’Attack Surface Management comprende...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Gen 31, 2023 0
Kaspersky ha pubblicato una nuova ricerca denominata...Gen 31, 2023 0
Durante il down di Libero e Virgilio, gli attaccanti non...Gen 30, 2023 0
Il 2022 è stato un anno molto impegnativo per la...Gen 27, 2023 0
I ricercatori di Proofpoint hanno pubblicato un’analisi...Gen 27, 2023 0
I ricercatori di Akamai hanno pubblicato una Proof of...