Aggiornamenti recenti Marzo 23rd, 2023 5:14 PM
Gen 19, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 1
Nell’ottica di un pirata informatico, affidarsi a una sola tecnica di attacco non è una buona idea. I ricercatori di sicurezza, infatti, possono prendere piuttosto rapidamente le contromisure per bloccarla.
Il gruppo di cyber-criminali che sta cercando di diffondere Zyklon HTTP in questi giorni, di conseguenza, ha deciso di diversificare le tecniche di attacco in modo da renderle imprevedibili.
Come riportano i ricercatori di Fireeye, che hanno studiato l’attacco, il trojan viene diffuso sempre attraverso un documento Word allegato a un messaggio di posta elettronica (e contenuto in un archivio ZIP per offuscarne il contenuto), ma il file DOC e il relativo exploit può cambiare casualmente. I ricercatori ne hanno individuati tre tipi, ognuno dei quali sfrutta una tecnica diversa per avviare l’installazione del malware.
Tutte fanno leva su vulnerabilità conosciute, due delle quali sono state corrette con gli aggiornamenti di Microsoft nei mesi scorsi. La terza, invece, non viene considerata dall’azienda di Satya Nadella una vera falla di sicurezza, ma una “feature”.
Andiamo con ordine: la prima falla (CVE-2017-8759) riguarda la piattaforma .NET e consente la manipolazione di dati, la creazione di account con elevati privilegi e la possibilità di installare programmi sul sistema.
La seconda (CVE-2017-11882) è invece quella relativa al famigerato componente Microsoft Equation Editor (ne abbiamo parlato in questo articolo) e ha la caratteristica di attivarsi senza che sia necessaria alcuna interazione con l’utente: una volta aperto il file, l’attacco parte automaticamente.
La terza tecnica di attacco sfrutta invece la funzione DDE (Dynamic Data Exchange) di cui abbiamo parlato in questa occasione e che non richiede nemmeno l’uso di un allegato. Purtroppo per questo attacco (che in ogni caso richiede un clic di conferma da parte dell’utente) non ci sono aggiornamenti. Secondo Microsoft, infatti, DDE è una semplice funzione e non una falla di sicurezza.
I pirati informatici che stanno conducendo la campagna di distribuzione di Zyklon HTTP, però, stanno utilizzando una strategia piuttosto bizzarra. Se i documenti infetti che sfruttano Ia funzione DDE scaricano direttamente il payload principale che poi installa il trojan scaricandolo da un server dedicato, gli altri eseguono un passaggio intermedio.
Ecco lo schema di attacco (piuttosto arzigogolato) utilizzato in questi giorni per diffondere il trojan.
Stando a quanto hanno scoperto i ricercatori, le vulnerabilità vengono sfruttate per avviare il download di un secondo documento Word che contiene il comando PowerShell che avvia il download del payload.
Zyklon http è un trojan piuttosto comune, che però ha caratteristiche che lo rendono decisamente “rognoso” da individuare. Le comunicazioni verso il server Command and Control, per esempio, avvengono attraverso il circuito Tor, utilizzando una codifica RSA.
Il malware è programmato per fare incetta delle password utilizzate dalla vittima per vari servizi Internet (dalle email ai social network), ma sul mercato nero (dove viene venduto per poco più di 100 dollari) sono disponibili anche dei moduli aggiuntivi che comprendono la possibilità di rubare le credenziali di videogiochi, software commerciali e anche alcune funzioni particolari come la possibilità di modificare le impostazioni di eventuali miner per cripto-valute per dirottare i proventi sul wallet di chi controlla Zyklon HTTP.
Mar 21, 2023 0
Mar 17, 2023 0
Feb 28, 2023 0
Feb 22, 2023 0
Mar 23, 2023 0
Mar 23, 2023 0
Mar 22, 2023 0
Mar 22, 2023 0
Mar 20, 2023 0
L’affermazione del lavoro ibrido e remoto ha...Mar 17, 2023 0
Il team Security Intelligence di Microsoft ha recentemente...Mar 17, 2023 0
Akamai ha pubblicato un nuovo report della serie State of...Mar 17, 2023 0
Nuove regolamentazioni all’orizzonte: dopo il GDPR,...Mar 16, 2023 0
Trend Micro ha diffuso i risultati della nuova ricerca What...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 23, 2023 0
IDC ha pubblicato la nuova edizione della Worldwide...Mar 23, 2023 0
Poste Italiane ha inaugurato un nuovo Fraud Prevention...Mar 22, 2023 0
I ricercatori di sicurezza di Google hanno individuato e...Mar 22, 2023 0
Kaspersky ha pubblicato un aggiornamento per il decryptor...Mar 21, 2023 0
L’FBI americano ha pubblicato il nuovo Internet Crime...
One thought on “Triplo attacco con il trojan Zyklon HTTP”