Aggiornamenti recenti Gennaio 31st, 2023 6:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Sicurezza IT finance: i timori delle aziende
- Down di Libero e Virgilio: rilevata una campagna di smishing che ha sfruttato il disservizio
- La minaccia dei cyberattacchi nei prossimi anni
- 2023: la transizione verso il modello zero trust
- Brand Phishing: Yahoo è l’azienda più imitata
Carbanak ora attacca hotel e ristoranti. Chiamandoli al telefono…
Il gruppo diventato celebre per gli attacchi informatici alle banche ha cambiato bersaglio e usa tecniche di ingegneria sociale telefonando alle vittime per convincerli ad aprire il virus.
Se esistesse un patentino per i truffatori informatici, i pirati del gruppo Carbanak dovrebbero averlo di diritto. Dopo aver rubato oltre 1 miliardo di dollari a istituti di credito di tutto il mondo, la gang ha ora cambiato obiettivo e sta prendendo di mira alberghi e ristoranti.
Stando a quanto riportato da Trustwave, nel mirino dei pirati ci sono i computer che controllano i POS (Point Of Sale), che una volta compromessi consentono di sottrarre i dati delle carte di credito dei clienti.
Tutto comincia con una telefonata al servizio clienti della struttura presa di mira. I pirati fingono di lavorare per un’agenzia e spiegano all’operatore che non sono riusciti a portare a termine la procedura di prenotazione online. Possono inviare la richiesta di prenotazione via email?
I cyber-criminali rimangono in linea fino a quando non sono sicuri che la vittima abbia ricevuto il messaggio di posta elettronica e abbia aperto l’allegato. A questo punto attaccano il telefono.
L’allegato è un documento Word, all’interno del quale si nasconde uno script VBS. Il testo del messaggio viene visualizzato correttamente, ma allo stesso tempo lo script avvia la procedura di infezione del computer.
Sullo schermo della vittima compare una generica richiesta di prenotazione. Ma i pirati hanno già messo giù il telefono…
Come prima cosa si collega a Internet per scaricare un altro malware chiamato AdobeUpdateManagementTool.vbs. Questo viene installato sul sistema e la sua presenza viene mascherata usando un’icona di Shockwave Flash.
Da questo momento, il malware è in grado di comunicare con il server Command and Control (C&C) dei pirati attraverso l’invio (ogni 5 minuti) di pacchetti HTTP codificati in base 64 e crittografati con RC4. Questa procedura ha il solo scopo di “informare” il server C&C del fatto che il PC è compromesso e disponibile.
Il traffico di questo tipo, se non si sa cosa cercare, passa facilmente inosservato all’interno di una rete aziendale e non suscita alcun sospetto.
La seconda fase dell’attacco prevede l’installazione di malware più specifico, che i ricercatori di Trustwave hanno identificato come varianti del trojan Carbanak.
Il primo modulo è contenuto in un file chiamato bf.exe, che avvia una seconda istanza di svchost.exe e inietta il suo codice nel processo. A questo punto il malware verifica se sul sistema è installato l’antivirus Kaspersky e cerca di terminarne i processi.
Il malware prende di mira avp.exe e avpui.exe. Sono processi che fanno riferimento a Kaspersky Antvirus.
Procede poi a scaricare e installare ulteriori moduli (kldconfig.exe, kldconfig.plug e runmem.wi.exe) che consentono ai pirati di controllare il computer in remoto, rubare email, password e sottrarre i dati delle carte di credito lette dai POS. I dati rubati vengono inviati al server C&C attraverso una comunicazione crittografata tramite la porta 443.
Stando a quanto riportato da Trustwave, i cui ricercatori si sono imbattuti in questo attacco per ben due volte nel mese scorso, la nuova strategia sarebbe agli inizi. Le vittime, la cui identità non viene specificata, sarebbero delle grandi catene di alberghi negli USA.
Non è da escludere, però, che lo stesso malware possa essere usato “a pioggia” su attività di altro genere, magari senza che i criminali impieghino in questi casi la stessa cura nel predisporre il tranello.
Stando all’analisi dei ricercatori, infatti, il primo vettore di attacco non viene rilevato dalla maggior parte degli antivirus, che avrebbero invece qualche speranza di intercettare i moduli secondari. Sempre che siano ancora in funzione…
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
La minaccia dei cyberattacchi nei prossimi anni Experian ha pubblicato il Data Breach Industry Forecast, un... -
Brand Phishing: Yahoo è l’azienda più imitata Yahoo è stato il brand più impersonato negli attacchi di... -
La minaccia cyber: cosa aspettarsi nel 2023 secondo Trend... Trend Micro ha pubblicato il nuovo report Future/Tense:... -
I malware più interessanti del 2022 per Palo Alto Networks Unit 42, il Threat Intelligence Team di Palo Alto Networks... -
Il ruolo del Business Attack Surface Management nella... L’Attack Surface Management comprende...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Sicurezza IT finance: i timori delle aziende Kaspersky ha pubblicato una nuova ricerca denominata... -
Down di Libero e Virgilio: rilevata una campagna di... Durante il down di Libero e Virgilio, gli attaccanti non... -
2023: la transizione verso il modello zero trust Il 2022 è stato un anno molto impegnativo per la... -
TA444: il gruppo APT punta alle criptovalute I ricercatori di Proofpoint hanno pubblicato un’analisi... -
Akamai rilascia una PoC per la vulnerabilità di Windows... I ricercatori di Akamai hanno pubblicato una Proof of...
Ransomware: la serie
No posts found.
