Aggiornamenti recenti Settembre 27th, 2023 5:00 PM
Nov 18, 2019 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 1
L’allarme arriva dal gruppo Talos, la divisione per la sicurezza informatica di Cisco, e non riguarda un nuovo malware, ma l’utilizzo di tecniche di attacco che usano un sistema di offuscamento particolarmente efficace.
Il tema è quello dei dropper, cioè dei codici malevoli che hanno la funzione di installare altri malware sul computer cercando di sfuggire alle più comuni tecniche di analisi utilizzate dagli antivirus.
Il caso analizzato dai ricercatori di Talos in un post pubblicato lo scorso 14 novembre descrive alla perfezione il modus operandi dei cyber-criminali.
Tutto comincia con un messaggio email a cui è allegato un file compresso con estensione ARJ, un vecchio formato caduto ormai in disuso. La scelta di ARJ è probabilmente legata, spiega l’autore del post, a un tentativo di far passare inosservato l’allegato ai controlli eseguiti dai gateway che hanno impostazioni di sicurezza piuttosto “lasche”.
L’eseguibile contenuto nell’archivio è protetto da crittografia e avvia una serie di processi (tra qui quello di decodifica) che non avvengono mai sul disco fisso. Uno stratagemma, questo, che permette al dropper di nascondere la sua attività in maniera più efficace.
L’iniezione del malware (nel caso specifico una versione modificata di AgentTesla) viene poi effettuata all’interno di processi legittimi di Windows, in modo che il codice malevolo sia pressoché “invisibile”.
Nella maggior parte dei casi si tratta di trojan in grado di rubare informazioni dal client di posta elettronica o dal browser, come credenziali di accesso e dati relativi alle carte di credito. L’esfiltrazione dei dati può poi essere avviata attraverso diversi canali, come FTP o SMTP.
Secondo i ricercatori di Talos, il semplice utilizzo di questa strategia di infezione in più fasi consente di utilizzare malware conosciuti che riescono a passare inosservati grazie alla funzione svolta dal dropper, che agisce come “contenitore” e garantisce un livello di offuscamento tale da permettere al trojan di “volare sotto i radar” fino a quando non è troppo tardi.
Ago 18, 2023 0
Nov 29, 2022 0
Set 05, 2022 0
Lug 19, 2022 0
Set 27, 2023 0
Set 27, 2023 0
Set 26, 2023 0
Set 25, 2023 0
Set 27, 2023 0
I cybercriminali stanno sviluppando nuovi attacchi,...Set 26, 2023 0
Sembra che la cybersecurity sia diventata centrale per il...Set 19, 2023 0
Uno dei modi migliori per condividere idee e favorire la...Set 18, 2023 0
I dispositivi IoT stanno trasformando l’operatività...Set 18, 2023 0
La sicurezza delle password è un aspetto cruciale per...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Set 27, 2023 0
Google ha individuato una nuova vulnerabilità critica, la...Set 25, 2023 0
Il team di sicurezza di Sonatype ha individuato unaSet 25, 2023 0
SentinelLabs e QGroup GmbH hanno individuato un nuovo...Set 22, 2023 0
Signal Foundation, l’azienda dietro l’omonima...Set 22, 2023 0
GitLab ha rilasciato due patch urgenti per risolvere una...
One thought on “Attenzione ai dropper di nuova generazione: sfuggono ai controlli antivirus”