Furto dati, l'Italia è tra i bersagli del trojan Masslogger
Cisco Talos segnala che il nostro Paese è tra i più colpiti da una variante di Masslogger, campagna malevola che mira al furto di credenziali degli utenti Windows.
Pubblicato il 03 marzo 2021 da Redazione
Masslogger, un trojan che dall'autunno del 2020 imperversa nel mondo, ha preso particolarmente di mira l'Italia all'inizio del 2021. Cisco, attraverso i suoi laboratori di ricerca Talos, segnala che il nostro Paese è tra i bersagli più colpiti da una campagna malevola osservata a metà gennaio, una campagna che ha sfruttato una particolare variante di questo trojan per rubare credenziali e dati degli utenti Windows.
Oltre all'Italia, gli attacchi sono imperversati anche in Turchia e Lettonia. Inoltre fra settembre, ottobre e novembre del 2020 tipologie di attacco simili sono state rilevate in Bulgaria, Lituania, Ungheria, Estonia, Romania e Spagna.
Il trojan è progettato per sottrarre dati da svariate fonti, fra cui Microsoft Outlook, Google Chrome e applicazioni di messaggistica istantanea. Questa nuova variante di Masslogger nella propria catena di attacco impiega un approccio a più livelli per riuscire a eludere il rilevamento: tutto comincia con una email di phishing che riporta come oggetto del messaggio una frase che pare riferirsi a un'azienda.
(Foto: Cisco Talos)
L'email contiene un allegato in formato compresso RAR e che, una volta decompresso, dà come risultato un file con estensione del nome diversa (CHM): questo è un primo espediente per eludere i controlli di sicurezza che monitorano proprio l’estensione del file. Il file CHM contiene del codice JavaScript che serve per avviare il processo di infezione: lo script in realtà è un downloader che installa il loader malevolo. A parte l'allegato email iniziale, tutte le fasi dell’attacco sono di tipo fileless e si verificano esclusivamente in memoria. Le uniche componenti presente su disco sono l'allegato scaricato e il file di aiuto Html associato.
Queste caratteristiche dell'attacco, sottolinea Cisco, enfatizzano l'importanza di eseguire regolari scansioni della memoria. Inoltre è consigliabile configurare i Pc in modo che gli eventi PowerShell (come il caricamento di moduli e i blocchi degli script eseguiti) mostrino il codice eseguito in formato “deoffuscato”, cioè annullino le tecniche di offuscamento adottate dagli autori dell'attacco.
CISCO
- Cisco e Nutanix insieme per un cloud ibrido più semplice
- Kyndryl sceglie le tecnologie Cisco per nuovi servizi di cybersecurity
- La corsa all’intelligenza artificiale prosegue con Cisco, Hpe e Lenovo
- Aziende avanti sul multicloud, ma sicurezza e visibilità sono critiche
- Applicazioni e dati, i punti deboli della cybersicurezza aziendale
NEWS
- L’intelligenza artificiale nell’edge è anche in forma di servizio
- Analytics alternativi a Google: Piwik Pro presenta l’offerta
- Infinidat raddoppia la capacità e porta l’all-flash negli array ibridi
- FinOps, cresce la richieste di competenze per gestire i costi del cloud
- Con Bionic, CrowdStrike unifica la protezione del cloud
