Aggiornamenti recenti Settembre 29th, 2023 2:44 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Gli hotel di lusso rimangono tra gli obiettivi principali dei cybercriminali
- Scoperto ShadowSyndicate, un player del ransomware-as-a-service attivo da anni
- Addio password: su Windows 11 arriva il supporto nativo per le passkey
- Torna ZeroFont: la vecchia tecnica di phishing si è rinnovata
- Individuata una vulnerabilità critica in libwebp già sfruttata dagli attaccanti
Attacchi mirati alle aziende USA con il trojan LookBack
I pirati hanno utilizzato tecniche di spear phishing puntando a compromettere i sistemi di 17 società di servizi. Gli esperti: “lavorano per uno stato estero”.
Una campagna orchestrata per ottenere l’accesso ai sistemi informatici di almeno 17 società di servizi attive negli Stati Uniti, condotta utilizzando un trojan che avrebbe permesso ai pirati informatici di sottrarre informazioni sensibili e compiere azioni di sabotaggio.
È questo il quadro tratteggiato da un report di Proofpoint in un report che approfondisce una segnalazione pubblicata dalla stessa società di sicurezza a inizio agosto.
L’attività dei pirati, che secondo i ricercatori farebbero parte di un gruppo collegato a uno stato estero, è iniziata a luglio e si è protratta per pochi giorni. Una seconda ondata di attacchi è invece stata rilevata tra il 21 e il 29 agosto.
La tecnica è sempre la stessa e utilizza come vettore di attacco un’email che contiene una serie di allegati. Il messaggio di posta, realizzato con grande cura, sembra provenire da organizzazioni di certificazione e, nel caso del secondo attacco, i ricercatori sottolineano alcune “finezze” utilizzate dai pirati per rendere più credibile l’email.
Gli ultimi messaggi, infatti, sono confezionati in modo da apparire provenienti da un ente pubblico chiamato Global Energy Certification (GEC) e, oltre al documento Word che contiene il malware, contengono come allegato un PDF assolutamente innocuo “estratto” dalla documentazione originale del GEC.
Anche la tecnica utilizzata per indurre la vittima ad aprire il file in formato .DOC che contiene il trojan è decisamente brillante. Il documento ha come nome Take the exam now.doc e lascia quindi supporre che si tratti di un test interattivo.
Un trucchetto che, negli obiettivi dei pirati, dovrebbe permettere di superare eventuali sospetti riguardo alla richiesta di attivare le funzionalità Macro del documento. L’attivazione avvia in realtà una serie di comandi VBA concatenati, che portano all’installazione del trojan LookBack.
Per offuscare questo tipo di attività, i cyber-spioni hanno adottato una tecnica piuttosto elaborata. All’apertura del file, infatti, vengono memorizzati sul computer dei file PEM (privacy-enhanced mail) e un file chiamato Temptcm.tmp.
Quest’ultimo viene utilizzato per decodificare i file PEM (memorizzati in formato TXT) per trasformarli nei moduli utilizzati dal malware. Nel dettaglio, Tempgup.txt diventa GUP.exe, un tool proxy utilizzato per mascherare il traffico del trojan, mentre Tempgup2.txt si trasforma in libcurl.dll che agisce come loader.
Tempsodom.txt, infine, viene decodificato come sodom.txt, al cui interno sono memorizzate le impostazioni per il collegamento al server Command and Control.
Una volta installato, LookBack consente di eseguire un gran numero di operazioni in remoto, tra cui la possibilità di esaminare i processi attivi sul PC, terminarli, eseguire comandi, copiare o cancellare file, catturare schermate del computer e simulare l’attività del mouse.
Abbastanza per garantire ai pirati informatici il completo accesso alla macchina e la possibilità di eseguire movimento laterale all’interno dei sistemi delle aziende colpite.
Considerata la tipologia dei bersagli e il livello tecnico degl istrumenti di attacco, dalle parti di Proofpoint non hanno dubbi riguardo il fatto che gli attacchi siano opera di un gruppo legato a un governo straniero. I ricercatori, però, non si spingono oltre. Per un’eventuale attribuzione bisognerà aspettare ancora un po’ di tempo.
Condividi l'articolo
WatchGuard: Europa nel mirino dei pirati e attacchi sempre più raffinati
Da Google Alert a Google Calendar: pirati all’attacco
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Malware-as-a-service: i ransomware sono i software più... I cybercriminali stanno sviluppando nuovi attacchi,... -
Il settore automotive abbraccia la cybersecurity: calano le... Sembra che la cybersecurity sia diventata centrale per il... -
Il cybercrimine organizza competizioni per sviluppare nuovi... Uno dei modi migliori per condividere idee e favorire la... -
DDoS tramite dispositivi IoT: una minaccia sempre più... I dispositivi IoT stanno trasformando l’operatività... -
Fine Grain Password: un servizio Microsoft per gestire... La sicurezza delle password è un aspetto cruciale per...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Gli hotel di lusso rimangono tra gli obiettivi principali... Gli attacchi contro gli hotel di lusso non si arrestano:... -
Scoperto ShadowSyndicate, un player del... Un’indagine congiunta di Group-IB e Bridewell ha... -
Addio password: su Windows 11 arriva il supporto nativo per... L’ultimo aggiornamento di Windows 11 include nuove... -
Torna ZeroFont: la vecchia tecnica di phishing si è... ZeroFont, una tecnica di phishing già ampiamente... -
Individuata una vulnerabilità critica in libwebp già... Google ha individuato una nuova vulnerabilità critica, la...
Ransomware: la serie
No posts found.
