Aggiornamenti recenti Marzo 18th, 2024 2:00 PM
Giu 11, 2018 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS, Trojan 0
Non sono molto frequenti, ma ogni tanto i ricercatori segnalano campagne di distribuzione di malware che prendono di mira in maniera specifica il nostro paese.
L’ultimo caso di un certo rilievo riguardava il trojan URSNIF (ne abbiamo parlato in questo articolo), che lo scorso aprile era stato distribuito usando uno stratagemma particolarmente insidioso.
URSNIF ha a che fare anche con questo nuovo allarme, ma in abbinata con un “collega” che utilizza una tecnica completamente diversa. Come spiega il ricercatore Marco Ramilli di Yoroi in un post su Internet, infatti, DMOSK sfrutta una catena di vulnerabilità per compromettere i computer delle potenziali vittime e installare al loro interno una nuova versione di URSNIF.
Tutto comincia con un’email al cui interno è inserito un link. Se il destinatario fa clic sul collegamento, questo avvia il download e la decompressione automatica di un file ZIP.
Al suo interno c’è un JavaScript (in formato JSE) che a questo punto viene presentato nella cartella e che, per il suo avvio, richiede un ulteriore clic da parte della vittima. Se aperto, il JavaScript avvia il terzo stadio dell’attacco, attraverso il download di un file in formato SCR che viene automaticamente avviato.
Secondo il report, il file eseguibile ha ancora un basso livello di rilevamento da parte dei motori antivirus. Un controllo su Virus Total (il sito che consente di scansire un file utilizzando diversi motori antivirus – ndr) avrebbe infatti dimostrato che solo 9 software antivirus su 69 lo identificano come pericoloso.
La quarta fase dell’attacco avvia l’esecuzione in memoria di una variante di URSNIF che, una volta installato, avvia immediatamente le comunicazioni con il server Command and Control che consente all’autore di gestirne il funzionamento.
Come sottolinea Ramilli, il trojan utilizza un sistema di black list per selezionare i suoi obiettivi. I parametri utilizzati comprendono la posizione (sembra prenda di mira specificatamente l’Italia) e la tipologia di macchina infetta, evitando di avviare l’installazione sui server.
Un elemento curioso riguarda il fatto che nella black list c’è una voce specifica che blocca l’installazione nel caso in cui il computer colpito si trovi nel dominio del Massachusetts Institute of Technologies.
Il trojan, una volta installato, è in grado di sottrarre informazioni sensibili dal computer compromesso (principalmente credenziali di servizi Internet) ma le sue funzionalità possono essere espanse attraverso l’installazione di ulteriori moduli.
Secondo i dati raccolti da Yoroi, il numero di presunte vittime (basato sulle email corrispondenti ai destinatari che hanno aperto il link infetto) è di qualche migliaio, precisamente 6.617.
Mar 14, 2024 0
Mar 01, 2024 0
Feb 22, 2024 0
Feb 15, 2024 0
Mar 18, 2024 0
Mar 18, 2024 0
Mar 15, 2024 0
Mar 15, 2024 0
Mar 15, 2024 0
Dopo alcuni mesi dalla sua scoperta, Tomer Peled,...Mar 15, 2024 0
Sempre più aziende stanno scegliendo Kubernetes (K8s) per...Mar 13, 2024 0
Negli ultimi anni il ruolo del CISO (Chief Information...Feb 29, 2024 0
Secondo la ricerca “Connecting the future of...Feb 28, 2024 0
Secondo l’ultimo sondaggio di Check Point, fornitore...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 18, 2024 0
F.A.C.C.T, agenzia russa di cybersecurity, ha denunciato...Mar 18, 2024 0
Il team di SonicWall Capture Labs ha scoperto di recente...Mar 15, 2024 0
Dopo alcuni mesi dalla sua scoperta, Tomer Peled,...Mar 14, 2024 0
I ricercatori di FortiGuard Labs hanno scoperto una...Mar 14, 2024 0
I ricercatori di SaltSecurity hanno individuato due...