Aggiornamenti recenti Aprile 19th, 2024 9:00 AM
Ott 10, 2017 Marco Schiaffino Keylogger, Malware, Minacce, News, RSS, Trojan 0
Stufi di rubare account di Facebook o i dati delle carte di credito di qualche impiegato squattrinato? Fate il grande salto e datevi allo spionaggio industriale!
È questo, in sintesi, il messaggio che deve essere passato sui forum del Deep Web negli ultimi mesi e a quanto pare deve aver fatto una certa presa.
Come spiegano i ricercatori di FireEye, infatti, nelle ultime settimane si sta assistendo a un vero boom di attacchi nei confronti di aziende aerospaziali, complessi industriali e società collegate al settore della finanza e della consulenza.
Lo strumento impiegato per questi attacchi è FormBook, un trojan che viene venduto (ma sarebbe meglio dire “noleggiato”) attraverso annunci nei forum frequentati da hacker e pirati informatici.
Come spiegano i ricercatori, si tratta di un malware che può essere utilizzato anche da chi non ha grandi competenze in programmazione e che risulta quindi appetibile anche per i neofiti del cyber-crimine.
Dal punto di vista tecnico, FormBook non è qualcosa di rivoluzionario, ma a livello di funzionalità non gli manca nulla. Consente di catturare tutto ciò che viene digitato sulla tastiera, rubare i dati dagli appunti, sottrarre le password dal browser e dai client di posta elettronica e catturare screenshots dello schermo.
Il controllo in remoto consente anche di impartire una serie di ordini come quello di aggiornare il malware, scaricare ed eseguire un file, impartire comandi tramite ShellExecute, riavviare o spegnere il sistema.
I server Command and Control, forniti in dotazione nel pacchetto, sono ospitati da un provider ucraino e, secondo gli analisti di FireEye, sono stati registrati attraverso un servizio di protezione della privacy che non consente di risalire a responsabili.
Il malware, in sé, viene distribuito sotto forma di un archivio RAR autoestraente, che il “cliente” deve quindi solo riuscire a far arrivare sul computer della vittima e convincerla ad aprirlo. L’estrazione e l’avvio in memoria del trojan è automatico.
Le due maggiori campagne di distribuzione individuate dagli esperti negli ultimi mesi hanno adottato tecniche differenti. La prima, che ha preso di mira principalmente gli Stati Uniti, sfrutta l’invio di email con un documento PDF allegato, al cui interno è presente un link che “punta” all’installer di FormBook.
La seconda, invece, ha sfruttato l’invio di email con allegati archivi compressi in vari formati (ZIP, RAR, ACE e persino ISO) che sfruttavano le più classiche tecniche di ingegneria sociale utilizzando un oggetto del tipo “Conferma di pagamento” o “Nuovo ordine”.
Questa seconda campagna sembra aver preso di mira principalmente la Corea del Sud (31% degli attacchi individuati) e gli Stati Uniti (22% dei casi).
I picchi di attacchi si sono registrati durante l’estate, ma è probabile che se il servizio di “malware as a service” sta registrando tutto questo successo, non passerà molto tempo prima che la formula sia ripresa da qualcun altro.
Mar 14, 2024 0
Mar 01, 2024 0
Feb 22, 2024 0
Feb 15, 2024 0
Apr 19, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 19, 2024 0
Il mondo del cybercrimine continua a mettere in difficoltà...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...