Un attacco malware apparentemente banale, ha rubato una vasta gamma di credenziali da migliaia di computer nelle ultime settimane. E continuerà a farlo.
Un rash di malware invisibile e senza file sta infettando le banche in tutto il mondo. L’attacco in corso è l’ultima ondata di Separ. Un ladro di credenziali che esiste da almeno la fine del 2017, ha detto un ricercatore della compagnia di sicurezza Deep Instinct.
Nelle ultime settimane, ha detto il ricercatore, Separ è tornato con una nuova versione che si è rivelata sorprendentemente abile nell’eludere software e servizi di rilevamento di malware. La fonte del suo successo. Una combinazione di brevi script e file eseguibili legittimi, che vengono utilizzati così spesso per scopi benevoli in cui si fondono perfettamente.
L’uso di malware spartistico basato su app e utilità legittime è stato definito “living off the land”, ed è stato utilizzato in una varietà di campagne altamente efficaci negli ultimi anni. L’ultimo Separ arriva in quello che sembra essere un documento PDF. Una volta cliccato, il file esegue una catena di altre app e tipi di file comunemente usati dagli amministratori di sistema.
Un’ispezione dei server utilizzati nella campagna mostra che, finora, ha raccolto credenziali appartenenti a circa 1.200 organizzazioni o individui. Il numero di infezioni continua a salire, il che indica che l’approccio spartan è stato efficace nell’aiutarlo a volare sotto il radar.
Come ha scritto Guy Propper, responsabile del team di intelligence delle minacce di Deep Instinct, in un post sul blog:
“Sebbene il meccanismo di attacco utilizzato da questo malware sia molto semplice, e l’aggressore non ha tentato di eludere l’analisi. La crescita del numero di vittime dichiarate da questo malware mostra che attacchi semplici possono essere molto efficaci”.
I primi due file eseguibili sono gli strumenti di rimozione della password dall’organizzazione di ricerca sulla sicurezza Secur ityXploded. Il terzo eseguibile esegue il client NcFTP legittimo per caricare i dati rubati su account precedentemente configurati sul servizio di hosting Hostia gratuito. Il quarto file eseguibile raggruppa le app legittime xcopy.exe, attrib.exe e sleep.exe necessarie per eseguire attività quotidiane.
“Gli aggressori non tentano di nascondere le loro intenzioni e non usano tecniche di offuscamento o di evasione“, ha scritto Propper sempre sul suo blog. Il quale poi conclude: “Inoltre, tutti i nomi dei file di output e le credenziali utilizzate dagli autori degli attacchi sono codificati negli script.“
La perdita dell'udito è un problema che colpisce milioni di persone in tutto il mondo, spesso considerato una condizione isolata…
Il Deserto di Atacama, noto come uno dei luoghi più aridi del pianeta, cela una meraviglia unica che appare solo…
Gli smartphone, nel corso degli ultimi anni, hanno a tutti gli effetti visto crescere notevolmente il proprio prezzo di vendita, sino ad…
Ci sono moltissime diete valide al giorno d'oggi e purtroppo essendo dell'era di Internet, per cercare di rimanere rilevanti, si…
Il tatto, uno dei sensi fondamentali per l’interazione con l’ambiente, rappresenta una delle più grandi sfide nella progettazione di protesi…
Le profezie di Baba Vanga per il 2025 tracciano un futuro contrastato, in cui catastrofi naturali e tensioni globali si…