Aggiornamenti recenti Settembre 21st, 2023 2:00 PM
Gen 19, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 1
Nell’ottica di un pirata informatico, affidarsi a una sola tecnica di attacco non è una buona idea. I ricercatori di sicurezza, infatti, possono prendere piuttosto rapidamente le contromisure per bloccarla.
Il gruppo di cyber-criminali che sta cercando di diffondere Zyklon HTTP in questi giorni, di conseguenza, ha deciso di diversificare le tecniche di attacco in modo da renderle imprevedibili.
Come riportano i ricercatori di Fireeye, che hanno studiato l’attacco, il trojan viene diffuso sempre attraverso un documento Word allegato a un messaggio di posta elettronica (e contenuto in un archivio ZIP per offuscarne il contenuto), ma il file DOC e il relativo exploit può cambiare casualmente. I ricercatori ne hanno individuati tre tipi, ognuno dei quali sfrutta una tecnica diversa per avviare l’installazione del malware.
Tutte fanno leva su vulnerabilità conosciute, due delle quali sono state corrette con gli aggiornamenti di Microsoft nei mesi scorsi. La terza, invece, non viene considerata dall’azienda di Satya Nadella una vera falla di sicurezza, ma una “feature”.
Andiamo con ordine: la prima falla (CVE-2017-8759) riguarda la piattaforma .NET e consente la manipolazione di dati, la creazione di account con elevati privilegi e la possibilità di installare programmi sul sistema.
La seconda (CVE-2017-11882) è invece quella relativa al famigerato componente Microsoft Equation Editor (ne abbiamo parlato in questo articolo) e ha la caratteristica di attivarsi senza che sia necessaria alcuna interazione con l’utente: una volta aperto il file, l’attacco parte automaticamente.
La terza tecnica di attacco sfrutta invece la funzione DDE (Dynamic Data Exchange) di cui abbiamo parlato in questa occasione e che non richiede nemmeno l’uso di un allegato. Purtroppo per questo attacco (che in ogni caso richiede un clic di conferma da parte dell’utente) non ci sono aggiornamenti. Secondo Microsoft, infatti, DDE è una semplice funzione e non una falla di sicurezza.
I pirati informatici che stanno conducendo la campagna di distribuzione di Zyklon HTTP, però, stanno utilizzando una strategia piuttosto bizzarra. Se i documenti infetti che sfruttano Ia funzione DDE scaricano direttamente il payload principale che poi installa il trojan scaricandolo da un server dedicato, gli altri eseguono un passaggio intermedio.
Ecco lo schema di attacco (piuttosto arzigogolato) utilizzato in questi giorni per diffondere il trojan.
Stando a quanto hanno scoperto i ricercatori, le vulnerabilità vengono sfruttate per avviare il download di un secondo documento Word che contiene il comando PowerShell che avvia il download del payload.
Zyklon http è un trojan piuttosto comune, che però ha caratteristiche che lo rendono decisamente “rognoso” da individuare. Le comunicazioni verso il server Command and Control, per esempio, avvengono attraverso il circuito Tor, utilizzando una codifica RSA.
Il malware è programmato per fare incetta delle password utilizzate dalla vittima per vari servizi Internet (dalle email ai social network), ma sul mercato nero (dove viene venduto per poco più di 100 dollari) sono disponibili anche dei moduli aggiuntivi che comprendono la possibilità di rubare le credenziali di videogiochi, software commerciali e anche alcune funzioni particolari come la possibilità di modificare le impostazioni di eventuali miner per cripto-valute per dirottare i proventi sul wallet di chi controlla Zyklon HTTP.
Set 20, 2023 0
Set 15, 2023 0
Set 14, 2023 0
Set 07, 2023 0
Set 21, 2023 0
Set 21, 2023 0
Set 20, 2023 0
Set 19, 2023 0
Set 19, 2023 0
Uno dei modi migliori per condividere idee e favorire la...Set 18, 2023 0
I dispositivi IoT stanno trasformando l’operatività...Set 18, 2023 0
La sicurezza delle password è un aspetto cruciale per...Set 13, 2023 0
Il fenomeno dei ransomware non si arresta e, anzi, continua...Set 13, 2023 0
Il furto di account rimane uno dei principali problemi di...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Set 21, 2023 0
Nel corso di Innovation 2023, Intel ha annunciato il...Set 21, 2023 0
Sale la tensione tra Pechino e Washington: la Cina ha...Set 20, 2023 0
Earth Lusca è ancora in attività: il gruppo...Set 20, 2023 0
I ricercatori di Wiz, compagnia di sicurezza per il...Set 19, 2023 0
HWG, azienda di servizi gestiti e consulenza cyber, e...
One thought on “Triplo attacco con il trojan Zyklon HTTP”