Aggiornamenti recenti Maggio 3rd, 2024 2:00 PM
Giu 12, 2017 Marco Schiaffino Malware, Minacce, News, RSS, Trojan 0
C’è un aspetto della sicurezza informatica che è tutto sommato rassicurante: le previsioni dei ricercatori si avverano quasi sistematicamente. Ogni volta che viene individuata una vulnerabilità è solo quesitone di giorni prima che qualche pirata informatico riesca a sfruttarla per fare danni.
A confermare la regola, questa volta, è SambaCry, un trojan individuato dai ricercatori di Kaspersky e che sfrutta una falla di sicurezza di Samba, la piattaforma open source che offre funzioni di condivisione di file e stampanti a livello di rete locale.
La vulnerabilità (CVE-2017-7494) è stata individuata alla fine di maggio e sfrutta una falla nel Server Message Block esattamente come ha fatto WannaCry, il ransomware che il mese scorso ha colpito centinaia di migliaia di computer in tutto il mondo.
Meno di una settimana dopo (ma il report è stato pubblicato solo venerdì) Kaspersky ha individuato SambaCry. Il malware agisce in maniera estremamente metodica. Per prima cosa verifica la possibilità di accedere in modalità scrittura sul disco, copiando al suo interno un file di testo composto da 8 caratteri casuali.
Se il tentativo ha successo, SambaCry cancella il file e procede con l’attacco. Il payload viene caricato sotto forma di un plugin per Samba che agisce con privilegi di super-utente ed è residente esclusivamente in memoria.
Il passo successivo prevede l’upload di due file distinti. Il primo è cblRWuoCc.so, che i ricercatori Kaspersky hanno ribattezzato con il nome di EternalMiner. Il suo compito è quello di installare un popolare software di mining chiamato cpuminer.
Il programma, in pratica, sfrutta la potenza di calcolo della macchina infetta per generare Monero, una criptovaluta simile a Bitcoin che sta diventando molto popolare tra i cyber-criminali. Monero, infatti, ha caratteristiche tecniche che promettono di garantire l’assoluto anonimato nelle transazioni, rendendola una valuta ideale per operazioni illegali.
Stando a quanto riportato dai ricercatori Kaspersky, per il momento l’operazione non ha portato ai cyber-criminali grandi guadagni: nel wallet su cui vengono “caricati” gli XMR (la sigla delle monete di Monero – ndr) ci sarebbero al momento l’equivalente di 5.400 dollari.
Considerato che il trojan sarebbe attivo da almeno un mese, non si tratta di cifre entusiasmanti. Non è escluso, però, che i pirati informatici che hanno creato SambaCry trovino altri modi per guadagnare denaro dalla loro attività.
Ad aiutarli potrebbe essere INAebsGB.so, il secondo file che SambaCry carica sulla macchina infetta. Si tratta di una reverse shell, che consente loro di fare letteralmente quello che vogliono come scaricare ed eseguire codice in remoto o cancellare tutti i dati presenti sul server.
L’unica consolazione è che il numero di server vulnerabili all’attacco non è così elevato. Al momento dell’annuncio della vulnerabilità, i ricercatori di Rapid7 avevano individuato circa 100.000 server vulnerabili all’attacco. Dopo l’annuncio e la pubblicazione degli aggiornamenti che correggono il bug, questo numero dovrebbe essersi drasticamente ridotto. Si spera…
Apr 24, 2024 0
Apr 23, 2024 0
Apr 16, 2024 0
Apr 12, 2024 0
Mag 03, 2024 0
Mag 03, 2024 0
Mag 02, 2024 0
Mag 02, 2024 0
Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 03, 2024 0
Zscaler ha annunciato l’acquisizione di Airgap...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Mag 02, 2024 0
Il Dipartimento della sicurezza interna degli Stati Uniti...Mag 02, 2024 0
L’ultimo aggiornamento di sicurezza per Windows 11...Apr 30, 2024 0
Nell’ultimo mese Okta ha osservato un preoccupante...