Aggiornamenti recenti Luglio 25th, 2025 4:14 PM
Gen 19, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 1
Nell’ottica di un pirata informatico, affidarsi a una sola tecnica di attacco non è una buona idea. I ricercatori di sicurezza, infatti, possono prendere piuttosto rapidamente le contromisure per bloccarla.
Il gruppo di cyber-criminali che sta cercando di diffondere Zyklon HTTP in questi giorni, di conseguenza, ha deciso di diversificare le tecniche di attacco in modo da renderle imprevedibili.
Come riportano i ricercatori di Fireeye, che hanno studiato l’attacco, il trojan viene diffuso sempre attraverso un documento Word allegato a un messaggio di posta elettronica (e contenuto in un archivio ZIP per offuscarne il contenuto), ma il file DOC e il relativo exploit può cambiare casualmente. I ricercatori ne hanno individuati tre tipi, ognuno dei quali sfrutta una tecnica diversa per avviare l’installazione del malware.
Tutte fanno leva su vulnerabilità conosciute, due delle quali sono state corrette con gli aggiornamenti di Microsoft nei mesi scorsi. La terza, invece, non viene considerata dall’azienda di Satya Nadella una vera falla di sicurezza, ma una “feature”.
Andiamo con ordine: la prima falla (CVE-2017-8759) riguarda la piattaforma .NET e consente la manipolazione di dati, la creazione di account con elevati privilegi e la possibilità di installare programmi sul sistema.
La seconda (CVE-2017-11882) è invece quella relativa al famigerato componente Microsoft Equation Editor (ne abbiamo parlato in questo articolo) e ha la caratteristica di attivarsi senza che sia necessaria alcuna interazione con l’utente: una volta aperto il file, l’attacco parte automaticamente.
La terza tecnica di attacco sfrutta invece la funzione DDE (Dynamic Data Exchange) di cui abbiamo parlato in questa occasione e che non richiede nemmeno l’uso di un allegato. Purtroppo per questo attacco (che in ogni caso richiede un clic di conferma da parte dell’utente) non ci sono aggiornamenti. Secondo Microsoft, infatti, DDE è una semplice funzione e non una falla di sicurezza.
I pirati informatici che stanno conducendo la campagna di distribuzione di Zyklon HTTP, però, stanno utilizzando una strategia piuttosto bizzarra. Se i documenti infetti che sfruttano Ia funzione DDE scaricano direttamente il payload principale che poi installa il trojan scaricandolo da un server dedicato, gli altri eseguono un passaggio intermedio.
Ecco lo schema di attacco (piuttosto arzigogolato) utilizzato in questi giorni per diffondere il trojan.
Stando a quanto hanno scoperto i ricercatori, le vulnerabilità vengono sfruttate per avviare il download di un secondo documento Word che contiene il comando PowerShell che avvia il download del payload.
Zyklon http è un trojan piuttosto comune, che però ha caratteristiche che lo rendono decisamente “rognoso” da individuare. Le comunicazioni verso il server Command and Control, per esempio, avvengono attraverso il circuito Tor, utilizzando una codifica RSA.
Il malware è programmato per fare incetta delle password utilizzate dalla vittima per vari servizi Internet (dalle email ai social network), ma sul mercato nero (dove viene venduto per poco più di 100 dollari) sono disponibili anche dei moduli aggiuntivi che comprendono la possibilità di rubare le credenziali di videogiochi, software commerciali e anche alcune funzioni particolari come la possibilità di modificare le impostazioni di eventuali miner per cripto-valute per dirottare i proventi sul wallet di chi controlla Zyklon HTTP.
Lug 22, 2025 0
Lug 21, 2025 0
Giu 25, 2025 0
Giu 11, 2025 0
Lug 25, 2025 0
Lug 25, 2025 0
Lug 24, 2025 0
Lug 23, 2025 0
Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 25, 2025 0
I ricercatori di Prodaft, compagnia di cybersecurity, hanno...Lug 25, 2025 0
Un nuovo studio condotto da Harmonic Security rivela uno...Lug 24, 2025 0
Sam Altman è spaventato dalla crescente capacità...Lug 23, 2025 0
Dall’Università La Sapienza di Roma arriva WhoFi, un...Lug 22, 2025 0
La campagna di attacchi mirati che sta sfruttando una...
One thought on “Triplo attacco con il trojan Zyklon HTTP”