Kovter, il nuovo metodo di infezione “fileless”

Secondo quanto riferisce Symantec, la nuova versione del trojan-clicker Kovter è in grado di sopravvivere insediandosi esclusivamente nella memoria operativa (RAM) del computer infetto; inoltre, per realizzare l’operazione di caricamento automatico, esso si avvale degli strumenti di sistema di Windows.

Kovter è noto sin dal 2013; il trojan viene principalmente utilizzato per aumentare il numero di click sui banner pubblicitari. Tale schema fraudolento (clickfraud) genera quindi profitti illeciti, con una certa regolarità, per i malintenzionati che ricorrono all’utilizzo di questa specifica tipologia di malware. Il clicker in questione viene costantemente perfezionato, adotta nuovi metodi di auto-protezione e, di tanto in tanto, compare nell’ambito di campagne malevole di vario genere. Nello scorso mese di luglio, ad esempio, Kovter ha dimostrato di essere in grado di “patchare” l’applicazione FlashPlayer, in modo tale da costringere l’utente-vittima ad una visualizzazione più “accurata” dei video pubblicitari ed evitare, quindi, possibili perdite di guadagno da parte dei propri “padroni”. Sempre nel corso dello stesso mese, i ricercatori di SANS ISC hanno rilevato la conduzione di un mailing di spam di vaste proporzioni, volto a distribuire il trojan Kovter assieme ad un altro clicker, Miuref. Si sono persino verificati dei casi in cui Kovter ha provveduto al download di malware estorsori.

Symantec osserva “in-the-wild” la nuova versione del trojan (2.0.3) sin dallo scorso mese di maggio. Una volta penetrato nel computer-vittima, il malware qui esaminato verifica, in primo luogo, la presenza di PowerShell. Se tale componente risulta assente, Kovter provvede ad effettuarne il download da Internet (nel caso in cui, al momento dell’infezione, non sia disponibile la relativa connessione, il trojan si insedia all’interno del sistema in maniera tradizionale, salvando il proprio file sull’hard disk).

Il malware modifica ugualmente le chiavi di registro, per garantire il caricamento del modulo principale in memoria ad ogni avvio del sistema. In seguito, esso rimuove dal disco il file temporaneo, caricato durante la prima fase dell’infezione. Come segnalano gli esperti, un analogo metodo fileless viene adottato da Poweliks, altro noto clicker, comparso tuttavia più di recente sulla scena del malware. Si tratta di una tecnica concepita per far sì che i programmi malevoli possano eludere l’azione protettiva svolta dai software antivirus che provvedono ad analizzare i file tramite le apposite firme. All’inizio dell’anno corrente, ad ogni caso, Microsoft ha di fatto limitato tale possibilità, migliorando il modo in cui Windows “sanitizza” i percorsi dei file.

Secondo i dati di cui dispone Symantec, la versione aggiornata del trojan viene per il momento utilizzata esclusivamente per aumentare in maniera forzata il numero di click. Essa viene diffusa in particolar modo attraverso i banner pubblicitari, o gli allegati malevoli contenuti nei messaggi di spam; in tal caso il file presenta, di solito, un’estensione .zip o .scr. Le precedenti versioni di Kovter venivano ugualmente recapitate mediante l’utilizzo degli exploit pack Angler, Fiesta, Nuclear, Neutrino e SweetOrange.

Secondo le statistiche di Symantec, il nuovo Kovter attacca principalmente gli utenti ubicati negli Stati Uniti (56% del volume complessivo di infezioni) e in Gran Bretagna (13%); in misura minore, poi, tale malware prende di mira gli utenti tedeschi e canadesi (rispettivamente 8% e 9%).

Fonte: Softpedia

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *