News

Kasidet, il bot scaricato attraverso le macro di Office

È stato già dimostrato, numerose volte, come i malintenzionati abbiano sensibilmente ravvivato il loro interesse nei confronti delle macro di Microsoft Office, ed utilizzino attivamente queste ultime per recapitare agli utenti-vittima temibili malware bancari; negli ultimi tempi, poi, i cybercriminali sono soliti distribuire, attraverso tali macro, anche il Trojan BlackEnergy. Di recente, alcuni ricercatori di zScaler, nota società californiana specializzata in sicurezza IT, hanno rilevato come facciano uso dello stesso identico vettore coloro che diffondono il bot Kasidet, altrimenti conosciuto come Neutrino.

I documenti Office malevoli vengono distribuiti sotto forma di allegati ad e-mail di spear-phishing; secondo quanto osservato da zScaler, questo spam a “tiratura” limitata è divenuto particolarmente aggressivo proprio nel corso delle ultime due settimane. È inoltre di particolare interesse il fatto che, oltre al bot Kasidet, il medesimo dropper VBA genera il download del banker Dridex.

Il malware Kasidet è noto sin dal 2013; fino a poco tempo fa, tuttavia, esso veniva principalmente utilizzato per la conduzione di attacchi DDoS. La variante osservata da zScaler è invece provvista di funzionalità più ampie; spiccano, tra di esse, quelle preposte al furto dei dati sensibili. Allo stesso tempo, il malware in questione è in grado di carpire informazioni di natura confidenziale sia dai browser (intercettando le API), sia dalla memoria dei sistemi PoS (il relativo modulo, a quanto si dice, è stato aggiunto nel mese di settembre dello scorso anno). È ugualmente interessante notare come i nomi dei browser Firefox, Chrome e IE vengano custoditi nel codice del malware in veste cifrata, per mezzo della stessa identica funzione hash precedentemente utilizzata, per il medesimo scopo, dal programma Trojan Carberp.

Il nuovo Kasidet è poi in grado di monitorare l’impiego di strumenti di analisi, quali debugger, sandbox, virtual machine. Tutti i dati sottratti, così come le informazioni relative al sistema infetto, vengono trasmessi dal bot ai relativi server C&C, il cui elenco si trova, sotto forma di URL cifrati, nel codice stesso del malware.

Presentando i risultati dell’analisi condotta, i ricercatori sottolineano come il download congiunto di Kasidet e Dridex non significhi, in alcun modo, che le campagne malevole possano essere correlate tra loro. “I file Office dannosi rappresentano, per i virus writer, un vettore particolarmente popolare, a livello di distribuzione dei payload nocivi, – scrivono i ricercatori nel report da essi stilato. – Gli autori di Dridex si avvalgono di tale tecnica da oltre un anno. È stato indubbiamente interessante rilevare che la stessa campagna, con gli stessi identici URL, viene utilizzata anche per la diffusione di Kasidet”.

I malintenzionati che distribuiscono Dridex hanno inserito nel proprio “arsenale” le macro di Office verso la fine del 2014; inizialmente, essi hanno utilizzato il formato Excel, mentre in seguito sono passati ai file XML. Nel mese di ottobre Invincea aveva osservato un nuovo repentino aumento delle attività condotte dal malware Dridex sul territorio della Francia; all’inizio del mese scorso, invece, i ricercatori di IBM hanno individuato una nuova versione del banker destinata a colpire le banche britanniche. In tutti i casi esaminati, per recapitare il Trojan erano state utilizzate macro specifiche, sebbene le stesse, da tempo, risultassero disabilitate di default; questo fa sì che i malfattori, in tali circostanze, debbano necessariamente indurre l’utente-vittima ad attivare manualmente le macro. A quanto pare, il vettore sopra descritto, a livello di distribuzione del malware, si è rivelato, sinora, estremamente efficace.

Threatpost

Kasidet, il bot scaricato attraverso le macro di Office

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox