Aggiornamenti recenti Settembre 2nd, 2025 4:53 PM
Lug 17, 2017 Marco Schiaffino Attacchi, Malware, News, RSS 0
Un singolo vettore di infezione in grado di installare sul computer due malware distinti. Secondo il ricercatore Brad Duncan, la campagna di distribuzione che ha fatto la sua comparsa in rete nelle ultime due settimane sarebbe una versione cyber-criminale delle promozioni “due per uno”.
Nel dettaglio, Duncan spiega che gli attacchi avvengono attraverso un metodo piuttosto tradizionale: l’invio di messaggi di posta elettronica con un archivio ZIP allegato. Le email sono confezionate in modo da apparire come provenienti da UPS (il celebre servizio di corriere – ndr) e hanno allegato un archivio ZIP che dovrebbe contenere i “dettagli” della spedizione.
Problemi nella consegna e un allegato con i dettagli relativi alla spedizione. Il trucco è vecchio ma in molti casi rischia ancora di funzionare.
All’interno dell’archivio compresso, però, c’è un JavaScript che avvia l’esecuzione dei due malware. Il primo è una variante del ransomware Nemucod, chiamato NemucodAES.
Si tratta di un classico ransomware, che prende in ostaggio i documenti sul PC crittografandoli ma senza modificarne l’estensione, come fanno molti altri “colleghi”. Il malware, poi, modifica lo sfondo del desktop per visualizzare una richiesta di riscatto in Bitcoin.
Nel corso del 2016 lo stesso ransomware era stato protagonista di una campagna di distribuzione che sfruttava Facebook e di cui abbiamo parlato in questo articolo.
Fortunatamente, i ricercatori hanno messo a punto uno strumento per recuperare gratuitamente i file che può essere scaricato a questo indirizzo. Secondo Duncan, però, gli autori del ransomware ne avrebbero modificato più volte il codice e non è escluso che ne possa comparire a breve una nuova versione più “ostica” da combattere.
Documenti crittografati e una classica richiesta di riscatto. Per lo meno NemucodAES non compromette il normale funzionamento del PC.
Il secondo ospite indesiderato che viene scaricato sul computer della vittima è invece Kovter. Si tratta di un trojan in circolazione da parecchio tempo (2013) e che i pirati hanno modificato più volte nel corso del tempo.
Al suo esordio Kovter agiva come il vecchio Virus della Polizia di Stato: aspettava che la vittima avviasse qualche attività non propriamente legale come il download di file tramite P2P e bloccava il computer visualizzando un messaggio che chiedeva il pagamento di una “multa” come sanzione per l’attività illecita.
In seguito, Kovter ha cambiato obiettivo e ha cominciato a utilizzare il PC infetto per fare clic su annunci pubblicitari all’insaputa del proprietario del computer.
Le funzionalità dell’attuale versione, secondo Duncan, non sono ancora chiare. Il ricercatore per il momento è riuscito solo a identificare il tipo di trojan analizzando il traffico in uscita e stando alla sua analisi, è improbabile che il suo obiettivo sia quello di agire come “clicker”.
Kovter, in ogni caso, rimane un trojan a tutti gli effetti e permette quindi ai pirati informatici di rubare informazioni dal computer infetto ed eventualmente avviare l’installazione di altri malware. Sottovalutarlo, quindi, può essere un grosso errore.
Set 01, 2025 0
Ago 07, 2025 0
Lug 29, 2025 0
Lug 22, 2025 0
Set 02, 2025 0
Ago 29, 2025 0
Ago 27, 2025 0
Ago 26, 2025 0
Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 04, 2025 0
I chatbot basati su modelli linguistici di grandi...Lug 29, 2025 0
Tra le minacce più recenti che stanno facendo tremare il...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 02, 2025 0
Lo scorso 20 agosto Salesloft aveva avvertito di un...Set 01, 2025 0
Qualche giorno fa la Counter Threat Unit di Sophos ha...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 27, 2025 0
Google ha deciso di aumentare la sicurezza dei dispositivi...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...