Aggiornamenti recenti Novembre 8th, 2024 7:00 PM
Giu 11, 2018 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS, Trojan 0
Non sono molto frequenti, ma ogni tanto i ricercatori segnalano campagne di distribuzione di malware che prendono di mira in maniera specifica il nostro paese.
L’ultimo caso di un certo rilievo riguardava il trojan URSNIF (ne abbiamo parlato in questo articolo), che lo scorso aprile era stato distribuito usando uno stratagemma particolarmente insidioso.
URSNIF ha a che fare anche con questo nuovo allarme, ma in abbinata con un “collega” che utilizza una tecnica completamente diversa. Come spiega il ricercatore Marco Ramilli di Yoroi in un post su Internet, infatti, DMOSK sfrutta una catena di vulnerabilità per compromettere i computer delle potenziali vittime e installare al loro interno una nuova versione di URSNIF.
Tutto comincia con un’email al cui interno è inserito un link. Se il destinatario fa clic sul collegamento, questo avvia il download e la decompressione automatica di un file ZIP.
Al suo interno c’è un JavaScript (in formato JSE) che a questo punto viene presentato nella cartella e che, per il suo avvio, richiede un ulteriore clic da parte della vittima. Se aperto, il JavaScript avvia il terzo stadio dell’attacco, attraverso il download di un file in formato SCR che viene automaticamente avviato.
Secondo il report, il file eseguibile ha ancora un basso livello di rilevamento da parte dei motori antivirus. Un controllo su Virus Total (il sito che consente di scansire un file utilizzando diversi motori antivirus – ndr) avrebbe infatti dimostrato che solo 9 software antivirus su 69 lo identificano come pericoloso.
La quarta fase dell’attacco avvia l’esecuzione in memoria di una variante di URSNIF che, una volta installato, avvia immediatamente le comunicazioni con il server Command and Control che consente all’autore di gestirne il funzionamento.
Come sottolinea Ramilli, il trojan utilizza un sistema di black list per selezionare i suoi obiettivi. I parametri utilizzati comprendono la posizione (sembra prenda di mira specificatamente l’Italia) e la tipologia di macchina infetta, evitando di avviare l’installazione sui server.
Un elemento curioso riguarda il fatto che nella black list c’è una voce specifica che blocca l’installazione nel caso in cui il computer colpito si trovi nel dominio del Massachusetts Institute of Technologies.
Il trojan, una volta installato, è in grado di sottrarre informazioni sensibili dal computer compromesso (principalmente credenziali di servizi Internet) ma le sue funzionalità possono essere espanse attraverso l’installazione di ulteriori moduli.
Secondo i dati raccolti da Yoroi, il numero di presunte vittime (basato sulle email corrispondenti ai destinatari che hanno aperto il link infetto) è di qualche migliaio, precisamente 6.617.
Nov 07, 2024 0
Set 24, 2024 0
Set 16, 2024 0
Lug 18, 2024 0
Nov 08, 2024 0
Nov 08, 2024 0
Nov 06, 2024 0
Nov 06, 2024 0
Nov 07, 2024 0
L’attuale panorama delle minacce si presente sempre...Nov 05, 2024 0
I FortiGuard Labs di Fortinet hanno individuato attività...Nov 04, 2024 0
Era già successo durante le ultime elezioni e sta...Ott 31, 2024 0
Oltre 200 applicazioni dannose che contano più di 8...Ott 29, 2024 0
Il 25 ottobre si è concluso il quarto e ultimo giorno di...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 08, 2024 0
Il furto di credenziali è l’attacco hacker più diffuso...Nov 07, 2024 0
L’attuale panorama delle minacce si presente sempre...Nov 06, 2024 0
Niente sospensione per Piracy Shield nonostante i problemi...Nov 06, 2024 0
Il team di Unit 42 di Palo Alto Networks ha...Nov 05, 2024 0
I FortiGuard Labs di Fortinet hanno individuato attività...