Masslogger, un trojan che dall'autunno del 2020 imperversa nel mondo, ha preso particolarmente di mira l'Italia all'inizio del 2021. Cisco, attraverso i suoi laboratori di ricerca Talos, segnala che il nostro Paese è tra i bersagli più colpiti da una campagna malevola osservata a metà gennaio, una campagna che ha sfruttato una particolare variante di questo trojan per rubare credenziali e dati degli utenti Windows.

Oltre all'Italia, gli attacchi sono imperversati anche in Turchia e Lettonia. Inoltre fra settembre, ottobre e novembre del 2020 tipologie di attacco simili sono state rilevate in Bulgaria, Lituania, Ungheria, Estonia, Romania e Spagna.

Il trojan è progettato per sottrarre dati da svariate fonti, fra cui Microsoft Outlook, Google Chrome e applicazioni di messaggistica istantanea. Questa nuova variante di Masslogger nella propria catena di attacco impiega un approccio a più livelli per riuscire a eludere il rilevamento: tutto comincia con una email di phishing che riporta come oggetto del messaggio una frase che pare riferirsi a un'azienda.

(Foto: Cisco Talos)

L'email contiene un allegato in formato compresso RAR e che, una volta decompresso, dà come risultato un file con estensione del nome diversa (CHM): questo è un primo espediente per eludere i controlli di sicurezza che monitorano proprio l’estensione del file. Il file CHM contiene del codice JavaScript che serve per avviare il processo di infezione: lo script in realtà è un downloader che installa il loader malevolo. A parte l'allegato email iniziale, tutte le fasi dell’attacco sono di tipo fileless e si verificano esclusivamente in memoria. Le uniche componenti presente su disco sono l'allegato scaricato e il file di aiuto Html associato.

Queste caratteristiche dell'attacco, sottolinea Cisco, enfatizzano l'importanza di eseguire regolari scansioni della memoria. Inoltre è consigliabile configurare i Pc in modo che gli eventi PowerShell (come il caricamento di moduli e i blocchi degli script eseguiti) mostrino il codice eseguito in formato “deoffuscato”, cioè annullino le tecniche di offuscamento adottate dagli autori dell'attacco.

Tag: cisco, phishing, furto dati, trojan, Talos, cisco talos, Masslogger

CISCO

NEWS

Furto dati, l'Italia è tra i bersagli del trojan Masslogger

Cisco Talos segnala che il nostro Paese è tra i più colpiti da una variante di Masslogger, campagna malevola che mira al furto di credenziali degli utenti Windows.