Malware che ruba credenziali ha già infettato 1.200 dispositivi ed è ancora attivo

Date:

Share post:

Un attacco malware apparentemente banale, ha rubato una vasta gamma di credenziali da migliaia di computer nelle ultime settimane. E continuerà a farlo.

Un rash di malware invisibile e senza file sta infettando le banche in tutto il mondo. L’attacco in corso è l’ultima ondata di Separ. Un ladro di credenziali che esiste da almeno la fine del 2017, ha detto un ricercatore della compagnia di sicurezza Deep Instinct.

Nelle ultime settimane, ha detto il ricercatore, Separ è tornato con una nuova versione che si è rivelata sorprendentemente abile nell’eludere software e servizi di rilevamento di malware. La fonte del suo successo. Una combinazione di brevi script e file eseguibili legittimi, che vengono utilizzati così spesso per scopi benevoli in cui si fondono perfettamente.

 

Come funziona malware che ha già infetto 1200 dispositivi

L’uso di malware spartistico basato su app e utilità legittime è stato definito “living off the land”, ed è stato utilizzato in una varietà di campagne altamente efficaci negli ultimi anni. L’ultimo Separ arriva in quello che sembra essere un documento PDF. Una volta cliccato, il file esegue una catena di altre app e tipi di file comunemente usati dagli amministratori di sistema.

Un’ispezione dei server utilizzati nella campagna mostra che, finora, ha raccolto credenziali appartenenti a circa 1.200 organizzazioni o individui. Il numero di infezioni continua a salire, il che indica che l’approccio spartan è stato efficace nell’aiutarlo a volare sotto il radar.

Come ha scritto Guy Propper, responsabile del team di intelligence delle minacce di Deep Instinct, in un post sul blog:

“Sebbene il meccanismo di attacco utilizzato da questo malware sia molto semplice, e l’aggressore non ha tentato di eludere l’analisi. La crescita del numero di vittime dichiarate da questo malware mostra che attacchi semplici possono essere molto efficaci”.

I primi due file eseguibili sono gli strumenti di rimozione della password dall’organizzazione di ricerca sulla sicurezza Secur ityXploded. Il terzo eseguibile esegue il client NcFTP legittimo per caricare i dati rubati su account precedentemente configurati sul servizio di hosting Hostia gratuito. Il quarto file eseguibile raggruppa le app legittime xcopy.exe, attrib.exe e sleep.exe necessarie per eseguire attività quotidiane.

Gli aggressori non tentano di nascondere le loro intenzioni e non usano tecniche di offuscamento o di evasione“, ha scritto Propper sempre sul suo blog. Il quale poi conclude: “Inoltre, tutti i nomi dei file di output e le credenziali utilizzate dagli autori degli attacchi sono codificati negli script.

Luca Scialò
Luca Scialòhttps://lucascialo.altervista.org/
Sociologo, blogger e articolista

Related articles

Amazon: offerte di inizio settimana da prendere al volo

Amazon ha appena lanciato una marea di nuove offerte tecnologiche e non. Se siete alla ricerca di qualche...

Mega-fusione di sei galassie osservata dagli astronomi: un evento rarissimo nell’Universo

Una collisione cosmica che sfida l'immaginazione Nell'Universo le collisioni tra galassie sono eventi tutt'altro che insoliti. Nel corso di...

Samsung Galaxy for the Planet: nuovi target 2030

Samsung Galaxy for the Planet entra in una nuova fase. Dopo aver centrato tutti i traguardi fissati per...

Il “sesto senso” che aiuta la salute mentale: cos’è l’interocezione e perché è così importante

Quando si parla di sesto senso si pensa spesso all'intuizione o a capacità misteriose. In realtà, le neuroscienze...