News

Kovter, il nuovo metodo di infezione “fileless”

Secondo quanto riferisce Symantec, la nuova versione del trojan-clicker Kovter è in grado di sopravvivere insediandosi esclusivamente nella memoria operativa (RAM) del computer infetto; inoltre, per realizzare l’operazione di caricamento automatico, esso si avvale degli strumenti di sistema di Windows.

Kovter è noto sin dal 2013; il trojan viene principalmente utilizzato per aumentare il numero di click sui banner pubblicitari. Tale schema fraudolento (clickfraud) genera quindi profitti illeciti, con una certa regolarità, per i malintenzionati che ricorrono all’utilizzo di questa specifica tipologia di malware. Il clicker in questione viene costantemente perfezionato, adotta nuovi metodi di auto-protezione e, di tanto in tanto, compare nell’ambito di campagne malevole di vario genere. Nello scorso mese di luglio, ad esempio, Kovter ha dimostrato di essere in grado di “patchare” l’applicazione FlashPlayer, in modo tale da costringere l’utente-vittima ad una visualizzazione più “accurata” dei video pubblicitari ed evitare, quindi, possibili perdite di guadagno da parte dei propri “padroni”. Sempre nel corso dello stesso mese, i ricercatori di SANS ISC hanno rilevato la conduzione di un mailing di spam di vaste proporzioni, volto a distribuire il trojan Kovter assieme ad un altro clicker, Miuref. Si sono persino verificati dei casi in cui Kovter ha provveduto al download di malware estorsori.

Symantec osserva “in-the-wild” la nuova versione del trojan (2.0.3) sin dallo scorso mese di maggio. Una volta penetrato nel computer-vittima, il malware qui esaminato verifica, in primo luogo, la presenza di PowerShell. Se tale componente risulta assente, Kovter provvede ad effettuarne il download da Internet (nel caso in cui, al momento dell’infezione, non sia disponibile la relativa connessione, il trojan si insedia all’interno del sistema in maniera tradizionale, salvando il proprio file sull’hard disk).

Il malware modifica ugualmente le chiavi di registro, per garantire il caricamento del modulo principale in memoria ad ogni avvio del sistema. In seguito, esso rimuove dal disco il file temporaneo, caricato durante la prima fase dell’infezione. Come segnalano gli esperti, un analogo metodo fileless viene adottato da Poweliks, altro noto clicker, comparso tuttavia più di recente sulla scena del malware. Si tratta di una tecnica concepita per far sì che i programmi malevoli possano eludere l’azione protettiva svolta dai software antivirus che provvedono ad analizzare i file tramite le apposite firme. All’inizio dell’anno corrente, ad ogni caso, Microsoft ha di fatto limitato tale possibilità, migliorando il modo in cui Windows “sanitizza” i percorsi dei file.

Secondo i dati di cui dispone Symantec, la versione aggiornata del trojan viene per il momento utilizzata esclusivamente per aumentare in maniera forzata il numero di click. Essa viene diffusa in particolar modo attraverso i banner pubblicitari, o gli allegati malevoli contenuti nei messaggi di spam; in tal caso il file presenta, di solito, un’estensione .zip o .scr. Le precedenti versioni di Kovter venivano ugualmente recapitate mediante l’utilizzo degli exploit pack Angler, Fiesta, Nuclear, Neutrino e SweetOrange.

Secondo le statistiche di Symantec, il nuovo Kovter attacca principalmente gli utenti ubicati negli Stati Uniti (56% del volume complessivo di infezioni) e in Gran Bretagna (13%); in misura minore, poi, tale malware prende di mira gli utenti tedeschi e canadesi (rispettivamente 8% e 9%).

Fonte: Softpedia

Kovter, il nuovo metodo di infezione “fileless”

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox