Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Ott 10, 2017 Marco Schiaffino Keylogger, Malware, Minacce, News, RSS, Trojan 0
Stufi di rubare account di Facebook o i dati delle carte di credito di qualche impiegato squattrinato? Fate il grande salto e datevi allo spionaggio industriale!
È questo, in sintesi, il messaggio che deve essere passato sui forum del Deep Web negli ultimi mesi e a quanto pare deve aver fatto una certa presa.
Come spiegano i ricercatori di FireEye, infatti, nelle ultime settimane si sta assistendo a un vero boom di attacchi nei confronti di aziende aerospaziali, complessi industriali e società collegate al settore della finanza e della consulenza.
Lo strumento impiegato per questi attacchi è FormBook, un trojan che viene venduto (ma sarebbe meglio dire “noleggiato”) attraverso annunci nei forum frequentati da hacker e pirati informatici.
Come spiegano i ricercatori, si tratta di un malware che può essere utilizzato anche da chi non ha grandi competenze in programmazione e che risulta quindi appetibile anche per i neofiti del cyber-crimine.
Dal punto di vista tecnico, FormBook non è qualcosa di rivoluzionario, ma a livello di funzionalità non gli manca nulla. Consente di catturare tutto ciò che viene digitato sulla tastiera, rubare i dati dagli appunti, sottrarre le password dal browser e dai client di posta elettronica e catturare screenshots dello schermo.
Il controllo in remoto consente anche di impartire una serie di ordini come quello di aggiornare il malware, scaricare ed eseguire un file, impartire comandi tramite ShellExecute, riavviare o spegnere il sistema.
I server Command and Control, forniti in dotazione nel pacchetto, sono ospitati da un provider ucraino e, secondo gli analisti di FireEye, sono stati registrati attraverso un servizio di protezione della privacy che non consente di risalire a responsabili.
Il malware, in sé, viene distribuito sotto forma di un archivio RAR autoestraente, che il “cliente” deve quindi solo riuscire a far arrivare sul computer della vittima e convincerla ad aprirlo. L’estrazione e l’avvio in memoria del trojan è automatico.
Le due maggiori campagne di distribuzione individuate dagli esperti negli ultimi mesi hanno adottato tecniche differenti. La prima, che ha preso di mira principalmente gli Stati Uniti, sfrutta l’invio di email con un documento PDF allegato, al cui interno è presente un link che “punta” all’installer di FormBook.
La seconda, invece, ha sfruttato l’invio di email con allegati archivi compressi in vari formati (ZIP, RAR, ACE e persino ISO) che sfruttavano le più classiche tecniche di ingegneria sociale utilizzando un oggetto del tipo “Conferma di pagamento” o “Nuovo ordine”.
Questa seconda campagna sembra aver preso di mira principalmente la Corea del Sud (31% degli attacchi individuati) e gli Stati Uniti (22% dei casi).
I picchi di attacchi si sono registrati durante l’estate, ma è probabile che se il servizio di “malware as a service” sta registrando tutto questo successo, non passerà molto tempo prima che la formula sia ripresa da qualcun altro.
Set 16, 2024 0
Lug 18, 2024 0
Lug 12, 2024 0
Lug 05, 2024 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...