Furto dati, l'Italia è tra i bersagli del trojan Masslogger
Cisco Talos segnala che il nostro Paese è tra i più colpiti da una variante di Masslogger, campagna malevola che mira al furto di credenziali degli utenti Windows.
Pubblicato il 03 marzo 2021 da Redazione
Masslogger, un trojan che dall'autunno del 2020 imperversa nel mondo, ha preso particolarmente di mira l'Italia all'inizio del 2021. Cisco, attraverso i suoi laboratori di ricerca Talos, segnala che il nostro Paese è tra i bersagli più colpiti da una campagna malevola osservata a metà gennaio, una campagna che ha sfruttato una particolare variante di questo trojan per rubare credenziali e dati degli utenti Windows.
Oltre all'Italia, gli attacchi sono imperversati anche in Turchia e Lettonia. Inoltre fra settembre, ottobre e novembre del 2020 tipologie di attacco simili sono state rilevate in Bulgaria, Lituania, Ungheria, Estonia, Romania e Spagna.
Il trojan è progettato per sottrarre dati da svariate fonti, fra cui Microsoft Outlook, Google Chrome e applicazioni di messaggistica istantanea. Questa nuova variante di Masslogger nella propria catena di attacco impiega un approccio a più livelli per riuscire a eludere il rilevamento: tutto comincia con una email di phishing che riporta come oggetto del messaggio una frase che pare riferirsi a un'azienda.
(Foto: Cisco Talos)
L'email contiene un allegato in formato compresso RAR e che, una volta decompresso, dà come risultato un file con estensione del nome diversa (CHM): questo è un primo espediente per eludere i controlli di sicurezza che monitorano proprio l’estensione del file. Il file CHM contiene del codice JavaScript che serve per avviare il processo di infezione: lo script in realtà è un downloader che installa il loader malevolo. A parte l'allegato email iniziale, tutte le fasi dell’attacco sono di tipo fileless e si verificano esclusivamente in memoria. Le uniche componenti presente su disco sono l'allegato scaricato e il file di aiuto Html associato.
Queste caratteristiche dell'attacco, sottolinea Cisco, enfatizzano l'importanza di eseguire regolari scansioni della memoria. Inoltre è consigliabile configurare i Pc in modo che gli eventi PowerShell (come il caricamento di moduli e i blocchi degli script eseguiti) mostrino il codice eseguito in formato “deoffuscato”, cioè annullino le tecniche di offuscamento adottate dagli autori dell'attacco.
CISCO
- Cisco annuncia un impegno decennale per le competenze digitali
- Con Cisco Webex si possono misurare le emissioni di CO2
- Tecnologie, nuovi spazi e cultura: i pilastri del lavoro ibrido
- Telefonia e collaborazione dello studio legale volano in cloud
- Specializzazioni per tema (e non per tecnologia), la visione di Cisco
NEWS
- Videosorveglianza con AI per le Olimpiadi di Parigi del 2024
- Altair unifica analisi dei dati e Ai nella piattaforma RapidMiner
- Trasformazione digitale, in Europa buone attese ma progetti lenti
- Nuove Gpu e alleanze nel cloud per spingere l’AI di Nvidia
- Data center Aruba, l’impegno per la sostenibilità è certificato
