Aggiornamenti recenti Dicembre 7th, 2023 6:02 PM
Lug 17, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 0
I dettagli sono stati pubblicati solo adesso, ma gli attacchi che hanno preso di mira i centri di assistenza di Samsung Italia sono in realtà cominciati lo scorso 2 aprile, giorno in cui è stata individuata la prima email infetta.
Come spiegano Gianfranco Tonello, Federico Girotto e Michele Zuin in un report pubblicato dalla società di sicurezza TG Soft, l’episodio sembra una replica di un attacco portato nel mese di marzo in Russia, che aveva sempre come obiettivo Samsung.
Tutto inizia con un’email (oggetto: “Comunicazione 18-061: gestione centri non autorizzati”) che sembra provenire da un indirizzo legittimo di Samsung e, per la precisione, dall’IT Service Manager di Samsung Italia. Il messaggio è scritto in italiano perfetto e contiene anche i contatti reali (numero di telefono ed email) del presunto mittente.
Allegato al messaggio c’è un file Excel chiamato QRS non autorizzati.xlsx che contiene effettivamente un elenco dei centri di assistenza non autorizzati, ma non solo: al suo interno c’è anche una porzione di codice che sfrutta una vulnerabilità di Office.
Si tratta di una falla di sicurezza conosciuta (CVE-2017-11882), di cui abbiamo parlato in questo articolo, che avvia l’esecuzione del malware sul computer in cui viene aperto il file. Una tecnica particolarmente insidiosa, poiché a differenza di quanto accade con altre vulnerabilità (per esempio quelle basate su comandi Macro) non visualizza alcun messaggio al momento dell’esecuzione.
In questo specifico caso, però, l’attacco è ancora più subdolo. La vulnerabilità, infatti, avvia il download del malware da un server che secondo i ricercatori è collegato a un centro di assistenza autorizzato Samsung.
Secondo i ricercatori, è probabile che i pirati abbiano intercettato l’email originale proveniente da Samsung, abbiano modificato l’allegato inserendo il codice malevolo e abbiano poi inviato nuovamente il messaggio ai dipendenti dell’azienda.
Il file scaricato al momento dell’apertura del file Excel viene memorizzato sul computer con il nome di notepad.exe, al cui interno c’è un altro eseguibile chiamato o BootstrapCS.exe.
È quest’ultimo a occuparsi dell’installazione del trojan, non prima di aver eseguito una serie di controlli per assicurarsi di non essere all’interno di una sandbox o di un sistema virtuale.
Il trojan non è un capolavoro dal punto di vista tecnico: si tratta in pratica di una versione modificata di Imminent-Monitor, un software commerciale con funzioni di controllo remoto che permette però di fare quello che si vuole sul computer.
Un elenco delle funzioni disponibili attraverso Imminent-Monitor. Ce n’è abbastanza per raccogliere un bel po’ di informazioni…
A quanto pare, però, i pirati che si nascondono dietro questa campagna di attacchi non amano correre rischi e preferiscono avere la certezza di poter agire con la massima libertà.
A questo scopo utilizzerebbero il software di controllo remoto per installare altri trojan (Revcode WebMonitor e Bladabindi) che hanno diverse funzioni di spionaggio, tra cui la possibilità di registrare dalla webcam e dal microfono, catturare schermate dal monitor, registrare tutto ciò che viene digitato sulla tastiera e copiare il contenuto degli appunti.
Tanto per non sbagliare, i cyber-criminali hanno inoltre associato a ogni trojan (nel corso della campagna ii ricercatori ne hanno identificati 5 varianti diverse) un server Command and Control differente.
Lo schema dell’infrastruttura usata dai pirati rende l’idea della complessità dell’attacco.
Secondo i ricercatori, l’attacco avrebbe avuto l’obiettivo di colpire (o cercare di colpire) tra i 200 e i 300 bersagli all’interno dell’ecosistema dei centri di assistenza Samsung.
Nessuna idea, invece, di quale potesse essere lo scopo finale dei cyber-criminali. Ma una volta messe le mani sui computer che gestiscono una rete di quelle dimensioni, crediamo che ai pirati non sarebbe rimasto che l’imbarazzo della scelta.
Ott 05, 2023 0
Set 14, 2023 0
Ago 22, 2023 0
Lug 14, 2023 0
Dic 07, 2023 0
Dic 07, 2023 0
Dic 06, 2023 0
Dic 05, 2023 0
Dic 05, 2023 0
Negli ultimi anni i cyberattaccanti nord-coreani hanno...Nov 30, 2023 0
L’avvicinarsi della fine dell’anno coincide con...Nov 30, 2023 0
Gli attacchi informatici crescono in numero e in...Nov 29, 2023 0
Yarix, divisione Digital Security di Var Group, ha...Nov 27, 2023 0
Le minacce APT sono tra le più pericolose nel panorama...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Dic 07, 2023 0
I ricercatori di VUSec, il gruppo di sicurezza...Dic 07, 2023 0
Google ha rilasciato importanti aggiornamenti di sicurezza...Dic 06, 2023 0
Vi ricordate l’attacco di CyberAv3ngers al centro...Dic 05, 2023 0
Che i sistemi di intelligenza artificiale fossero...Dic 04, 2023 0
I gruppi di cyberattaccanti nord-coreani dietro campagne...