Aggiornamenti recenti Giugno 16th, 2025 5:26 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Anubis, un nuovo ransomware che integra un wiper
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
Doppio malware: Ransomware e trojan distribuiti insieme
Il ransomware NemucodAES viene distribuito insieme a Kovter. Il primo prende in ostaggio i file, il secondo ruba informazioni dal PC.
Un singolo vettore di infezione in grado di installare sul computer due malware distinti. Secondo il ricercatore Brad Duncan, la campagna di distribuzione che ha fatto la sua comparsa in rete nelle ultime due settimane sarebbe una versione cyber-criminale delle promozioni “due per uno”.
Nel dettaglio, Duncan spiega che gli attacchi avvengono attraverso un metodo piuttosto tradizionale: l’invio di messaggi di posta elettronica con un archivio ZIP allegato. Le email sono confezionate in modo da apparire come provenienti da UPS (il celebre servizio di corriere – ndr) e hanno allegato un archivio ZIP che dovrebbe contenere i “dettagli” della spedizione.
Problemi nella consegna e un allegato con i dettagli relativi alla spedizione. Il trucco è vecchio ma in molti casi rischia ancora di funzionare.
All’interno dell’archivio compresso, però, c’è un JavaScript che avvia l’esecuzione dei due malware. Il primo è una variante del ransomware Nemucod, chiamato NemucodAES.
Si tratta di un classico ransomware, che prende in ostaggio i documenti sul PC crittografandoli ma senza modificarne l’estensione, come fanno molti altri “colleghi”. Il malware, poi, modifica lo sfondo del desktop per visualizzare una richiesta di riscatto in Bitcoin.
Nel corso del 2016 lo stesso ransomware era stato protagonista di una campagna di distribuzione che sfruttava Facebook e di cui abbiamo parlato in questo articolo.
Fortunatamente, i ricercatori hanno messo a punto uno strumento per recuperare gratuitamente i file che può essere scaricato a questo indirizzo. Secondo Duncan, però, gli autori del ransomware ne avrebbero modificato più volte il codice e non è escluso che ne possa comparire a breve una nuova versione più “ostica” da combattere.
Documenti crittografati e una classica richiesta di riscatto. Per lo meno NemucodAES non compromette il normale funzionamento del PC.
Il secondo ospite indesiderato che viene scaricato sul computer della vittima è invece Kovter. Si tratta di un trojan in circolazione da parecchio tempo (2013) e che i pirati hanno modificato più volte nel corso del tempo.
Al suo esordio Kovter agiva come il vecchio Virus della Polizia di Stato: aspettava che la vittima avviasse qualche attività non propriamente legale come il download di file tramite P2P e bloccava il computer visualizzando un messaggio che chiedeva il pagamento di una “multa” come sanzione per l’attività illecita.
In seguito, Kovter ha cambiato obiettivo e ha cominciato a utilizzare il PC infetto per fare clic su annunci pubblicitari all’insaputa del proprietario del computer.
Le funzionalità dell’attuale versione, secondo Duncan, non sono ancora chiare. Il ricercatore per il momento è riuscito solo a identificare il tipo di trojan analizzando il traffico in uscita e stando alla sua analisi, è improbabile che il suo obiettivo sia quello di agire come “clicker”.
Kovter, in ogni caso, rimane un trojan a tutti gli effetti e permette quindi ai pirati informatici di rubare informazioni dal computer infetto ed eventualmente avviare l’installazione di altri malware. Sottovalutarlo, quindi, può essere un grosso errore.
Condividi l'articolo
Whatsapp ora consente di inviare qualsiasi file. I pirati brindano
Un cyber-attacco globale può fare danni per 121 miliardi di dollari
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Anubis, un nuovo ransomware che integra un wiper I ricercatori di Trend Micro hanno individuato Anubis, un... -
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva...
Ransomware: la serie
No posts found.
