Un attacco malware apparentemente banale, ha rubato una vasta gamma di credenziali da migliaia di computer nelle ultime settimane. E continuerà a farlo.
Un rash di malware invisibile e senza file sta infettando le banche in tutto il mondo. L’attacco in corso è l’ultima ondata di Separ. Un ladro di credenziali che esiste da almeno la fine del 2017, ha detto un ricercatore della compagnia di sicurezza Deep Instinct.
Nelle ultime settimane, ha detto il ricercatore, Separ è tornato con una nuova versione che si è rivelata sorprendentemente abile nell’eludere software e servizi di rilevamento di malware. La fonte del suo successo. Una combinazione di brevi script e file eseguibili legittimi, che vengono utilizzati così spesso per scopi benevoli in cui si fondono perfettamente.
L’uso di malware spartistico basato su app e utilità legittime è stato definito “living off the land”, ed è stato utilizzato in una varietà di campagne altamente efficaci negli ultimi anni. L’ultimo Separ arriva in quello che sembra essere un documento PDF. Una volta cliccato, il file esegue una catena di altre app e tipi di file comunemente usati dagli amministratori di sistema.
Un’ispezione dei server utilizzati nella campagna mostra che, finora, ha raccolto credenziali appartenenti a circa 1.200 organizzazioni o individui. Il numero di infezioni continua a salire, il che indica che l’approccio spartan è stato efficace nell’aiutarlo a volare sotto il radar.
Come ha scritto Guy Propper, responsabile del team di intelligence delle minacce di Deep Instinct, in un post sul blog:
“Sebbene il meccanismo di attacco utilizzato da questo malware sia molto semplice, e l’aggressore non ha tentato di eludere l’analisi. La crescita del numero di vittime dichiarate da questo malware mostra che attacchi semplici possono essere molto efficaci”.
I primi due file eseguibili sono gli strumenti di rimozione della password dall’organizzazione di ricerca sulla sicurezza Secur ityXploded. Il terzo eseguibile esegue il client NcFTP legittimo per caricare i dati rubati su account precedentemente configurati sul servizio di hosting Hostia gratuito. Il quarto file eseguibile raggruppa le app legittime xcopy.exe, attrib.exe e sleep.exe necessarie per eseguire attività quotidiane.
“Gli aggressori non tentano di nascondere le loro intenzioni e non usano tecniche di offuscamento o di evasione“, ha scritto Propper sempre sul suo blog. Il quale poi conclude: “Inoltre, tutti i nomi dei file di output e le credenziali utilizzate dagli autori degli attacchi sono codificati negli script.“
L’industria della skincare è in continua evoluzione e sempre più spesso la scienza propone alternative non invasive ai classici trattamenti…
Il telescopio spaziale James Webb ha recentemente rilevato un fenomeno straordinario nel cuore della nostra galassia: il buco nero supermassiccio…
Una delle domande che maggiormente hanno colpito gli utenti di tutto il mondo va a toccare il destino di Naughty Dog,…
Il morbo di Alzheimer non è curabile, difficilmente prevedibile in quanto non si conosce appieno il percorso dietro l'origine, ma…
La dieta volumetrica è un regime alimentare ideato dalla nutrizionista Barbara Rolls, basato sul principio di assumere alimenti con un…
Negli ultimi cento anni, il fondale del Tamigi ha restituito centinaia di ossa umane, portando alla luce un mistero che…