Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Set 13, 2018 Marco Schiaffino In evidenza, Malware, News, RSS 0
Spesso gli allarmi riguardanti la diffusione di un malware riempiono caselle di posta elettronica e le pagine dei siti specializzati al momento della loro comparsa, salvo poi perderne le tracce qualche giorno dopo, quando l’effetto “novità” si esaurisce.
Questo, però, non significa che trojan, ransomware e worm non rappresentino più un pericolo per semplici utenti e aziende.
A ricordarlo è CyberArk, che in un report molto dettagliato pubblicato su Internet analizza la “carriera” di Loki, un trojan comparso nel 2015 e che a distanza di due anni non si è ancora deciso a lasciare le scene.
Anzi: come spiegano i ricercatori, il trojan si è evoluto e oggi viene utilizzato in nuove campagne di distribuzione che prendono di mira principalmente le aziende.
Tuttavia, Loki rimane un malware di “fascia media”, che viene venduto sul mercato nero (compresi i server C&C per controllarlo) per poche decine di dollari. Una caratteristica che dovrebbe far suonare un campanello di allarme in chi si occupa di sicurezza.
Se un trojan di taglio piuttosto “popolare” mantiene la sua efficacia per più di due anni, quali rischi corriamo di fronte a minacce più sofisticate?
Loki, nella sua prima incarnazione, era progettato per rubare le credenziali di accesso (username e password) a determinati servizi e trasmetterli al server Command and Control dove i pirati informatici memorizzavano le informazioni per poi utilizzarle in operazioni di hacking o rivenderle sul mercato nero.
Il modulo dedicato al furto di credenziali è programmato per colpire circa 80 software, tra cui tutti i browser più diffusi, i programmi di file sharing, i client di posta elettronica e i software per il controllo remoto.
Nell’ottica di un pirata informatico stiamo parlando in buona sostanza di tutto ciò che può permettere di monetizzare l’attacco a breve termine (come nel caso di username e password che possono essere venduti) o di informazioni che consentono di portare ulteriori attacchi alla macchina infetta.
Con il tempo, però, gli autori del trojan hanno ampliato le sue funzionalità, inserendo anche una funzione di key logging che gli consente di registrare tutto ciò che viene digitato sul computer infetto.
Un salto di qualità che non solo gli permette di sottrarre le credenziali di accesso di qualsiasi tipo di servizio, ma di ottenere anche informazioni sensibili di altro tipo, che possono anche essere scremate facilmente attraverso l’uso di sistemi di intelligenza artificiale basati su parole chiave di loro interesse.
Nonostante ciò, le soluzioni tecniche adottate dagli autori del trojan risultano tutt’altro che evolute. Per nascondere la sua presenza, per esempio, il malware utilizza un trucchetto piuttosto banale, inserendo il suo eseguibile e i file collegati in una cartella di Windows e attribuendogli la classificazione di “file di sistema”.
Dal momento che Windows ha come impostazione predefinita quella di nascondere i file di sistema, questo stratagemma impedisce agli utenti meno smaliziati di individuare i file del trojan.
L’indagine di CyberArk mette in luce anche un altro aspetto, su cui i ricercatori di sicurezza battono da tempo per sensibilizzare le aziende riguardo le nuove modalità con cui agiscono i cyber-criminali.
Nel corso della loro indagine, infatti, gli autori della ricerca hanno individuato e analizzato un server C&C collegato a Loki, scoprendo che lo stesso server veniva utilizzato anche per gestire una botnet IoT (Izuku) che prende di mira i router di D-Link, Huawei e Realtek.
Insomma: l’ennesima dimostrazione di come il mondo del cyber-crimine sia definitivamente approdato a una dimensione “imprenditoriale” in cui i soggetti si muovono attraverso collaborazioni e l’utilizzo delle logiche di “malware as a service” con sempre maggiore disinvoltura.
Mar 14, 2024 0
Mar 01, 2024 0
Feb 22, 2024 0
Feb 15, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...