Un attacco malware apparentemente banale, ha rubato una vasta gamma di credenziali da migliaia di computer nelle ultime settimane. E continuerà a farlo.
Un rash di malware invisibile e senza file sta infettando le banche in tutto il mondo. L’attacco in corso è l’ultima ondata di Separ. Un ladro di credenziali che esiste da almeno la fine del 2017, ha detto un ricercatore della compagnia di sicurezza Deep Instinct.
Nelle ultime settimane, ha detto il ricercatore, Separ è tornato con una nuova versione che si è rivelata sorprendentemente abile nell’eludere software e servizi di rilevamento di malware. La fonte del suo successo. Una combinazione di brevi script e file eseguibili legittimi, che vengono utilizzati così spesso per scopi benevoli in cui si fondono perfettamente.
Come funziona malware che ha già infetto 1200 dispositivi
L’uso di malware spartistico basato su app e utilità legittime è stato definito “living off the land”, ed è stato utilizzato in una varietà di campagne altamente efficaci negli ultimi anni. L’ultimo Separ arriva in quello che sembra essere un documento PDF. Una volta cliccato, il file esegue una catena di altre app e tipi di file comunemente usati dagli amministratori di sistema.
Un’ispezione dei server utilizzati nella campagna mostra che, finora, ha raccolto credenziali appartenenti a circa 1.200 organizzazioni o individui. Il numero di infezioni continua a salire, il che indica che l’approccio spartan è stato efficace nell’aiutarlo a volare sotto il radar.
Come ha scritto Guy Propper, responsabile del team di intelligence delle minacce di Deep Instinct, in un post sul blog:
“Sebbene il meccanismo di attacco utilizzato da questo malware sia molto semplice, e l’aggressore non ha tentato di eludere l’analisi. La crescita del numero di vittime dichiarate da questo malware mostra che attacchi semplici possono essere molto efficaci”.
I primi due file eseguibili sono gli strumenti di rimozione della password dall’organizzazione di ricerca sulla sicurezza Secur ityXploded. Il terzo eseguibile esegue il client NcFTP legittimo per caricare i dati rubati su account precedentemente configurati sul servizio di hosting Hostia gratuito. Il quarto file eseguibile raggruppa le app legittime xcopy.exe, attrib.exe e sleep.exe necessarie per eseguire attività quotidiane.
“Gli aggressori non tentano di nascondere le loro intenzioni e non usano tecniche di offuscamento o di evasione“, ha scritto Propper sempre sul suo blog. Il quale poi conclude: “Inoltre, tutti i nomi dei file di output e le credenziali utilizzate dagli autori degli attacchi sono codificati negli script.“
