Un attacco malware apparentemente banale, ha rubato una vasta gamma di credenziali da migliaia di computer nelle ultime settimane. E continuerà a farlo.
Un rash di malware invisibile e senza file sta infettando le banche in tutto il mondo. L’attacco in corso è l’ultima ondata di Separ. Un ladro di credenziali che esiste da almeno la fine del 2017, ha detto un ricercatore della compagnia di sicurezza Deep Instinct.
Nelle ultime settimane, ha detto il ricercatore, Separ è tornato con una nuova versione che si è rivelata sorprendentemente abile nell’eludere software e servizi di rilevamento di malware. La fonte del suo successo. Una combinazione di brevi script e file eseguibili legittimi, che vengono utilizzati così spesso per scopi benevoli in cui si fondono perfettamente.
L’uso di malware spartistico basato su app e utilità legittime è stato definito “living off the land”, ed è stato utilizzato in una varietà di campagne altamente efficaci negli ultimi anni. L’ultimo Separ arriva in quello che sembra essere un documento PDF. Una volta cliccato, il file esegue una catena di altre app e tipi di file comunemente usati dagli amministratori di sistema.
Un’ispezione dei server utilizzati nella campagna mostra che, finora, ha raccolto credenziali appartenenti a circa 1.200 organizzazioni o individui. Il numero di infezioni continua a salire, il che indica che l’approccio spartan è stato efficace nell’aiutarlo a volare sotto il radar.
Come ha scritto Guy Propper, responsabile del team di intelligence delle minacce di Deep Instinct, in un post sul blog:
“Sebbene il meccanismo di attacco utilizzato da questo malware sia molto semplice, e l’aggressore non ha tentato di eludere l’analisi. La crescita del numero di vittime dichiarate da questo malware mostra che attacchi semplici possono essere molto efficaci”.
I primi due file eseguibili sono gli strumenti di rimozione della password dall’organizzazione di ricerca sulla sicurezza Secur ityXploded. Il terzo eseguibile esegue il client NcFTP legittimo per caricare i dati rubati su account precedentemente configurati sul servizio di hosting Hostia gratuito. Il quarto file eseguibile raggruppa le app legittime xcopy.exe, attrib.exe e sleep.exe necessarie per eseguire attività quotidiane.
“Gli aggressori non tentano di nascondere le loro intenzioni e non usano tecniche di offuscamento o di evasione“, ha scritto Propper sempre sul suo blog. Il quale poi conclude: “Inoltre, tutti i nomi dei file di output e le credenziali utilizzate dagli autori degli attacchi sono codificati negli script.“
Dato il grandissimo successo Panasonic Lumix S5, l'azienda orientale negli ultimi anni ha pensato di mettere a disposizione del pubblico…
Recenti scoperte scientifiche hanno portato nuove speranze per chi soffre della malattia di Huntington, nota anche come “danza di San…
Su Amazon le feste di Natale arrivano prima! Il noto e-commerce ha appena inaugurato il "Negozio di Natale". Al suo…
Il cinema è una forma d'arte che cattura l'attenzione dello spettatore attraverso storie, immagini e suoni, ma c'è molto di…
WhatsApp continua a portare in campo funzioni riguardanti gli aggiornamenti di stato. Scovate nell'ultima beta dell'app per dispositivi iOS, tracce…
Gli astronauti americani, anche quando sono in orbita sulla Stazione Spaziale Internazionale (ISS), non rinunciano al diritto di voto, un’opportunità…