News

Macro dannose negli attacchi mirati

I ricercatori di Palo Alto Networks lanciano un segnale d’allarme riguardo alla recente comparsa di temibili mailing di spam a carattere mirato, volti a distribuire malware di tipo fileless attraverso documenti Word allegati ai messaggi di posta elettronica, contenenti macro malevole. Fino a poco tempo fa, venivano diffusi in tal modo soltanto i Trojan bancari, quali, ad esempio, Dridex e Dyre; questo “antico” metodo, tuttavia – che sembra non aver perso la propria efficacia – viene talvolta utilizzato anche per distribuire altri software nocivi, come lo stealer di informazioni Grabit, lo spyware BlackEnergy, il bot Kasidet, il cryptoblocker Locky.

Nel caso specifico qui esaminato, le e-mail maligne – secondo Palo Alto – vengono diffuse con “tiratura” decisamente limitata; il loro target è rappresentato da indirizzi di posta aziendali relativi a società americane, canadesi ed europee. Le e-mail in questione vengono abilmente mascherate sotto forma di messaggi utilizzati nell’ambito lavorativo; esse contengono il corretto nome del destinatario, così come alcune informazioni riguardanti l’organizzazione per la quale opera quest’ultimo. Le brevi informazioni presenti sui messaggi malevoli, ricavate, con ogni probabilità, da fonti pubblicamente accessibili, risultano comunque sufficienti per far sì che l’utente-vittima ritenga attendibile l’e-mail ricevuta, e sia quindi indotto a visualizzare il documento ad essa allegato.

Aprendo il file dannoso, ed accogliendo la richiesta relativa all’attivazione della macro (disabilitata di default), viene avviata l’esecuzione di un’istanza nascosta di “powershell.exe” con specifici argomenti (parametri) a livello di riga di comando. Il comando PowerShell eseguito in tale circostanza risulta preposto all’identificazione dell’architettura di Windows (a 32 bit o 64 bit); in funzione del risultato ottenuto, viene poi effettuato il download di uno script PowerShell aggiuntivo, contenente shellcode.

Questo payload compie tutta una serie di verifiche sulla macchina infetta, determinando il grado di “ostilità” dell’ambiente di esecuzione (virtual machine, sandbox, debugger), così come l’effettivo “valore” del target preso di mira. Ricorrendo all’utilizzo di apposite blacklist e whitelist, il malware provvede a ricercare, nelle impostazioni di rete della vittima, quelle stringhe che permettono di identificare il profilo della macchina sottoposta ad attacco; viene inoltre eseguita la scansione degli URL presenti nella cache, allo scopo di rilevare determinati siti web di natura finanziaria, e nomi quali Citrix, XenApp, dana-na (cartella condivisa contenente gli URL interni, creata nelle implementazioni VPN di Juniper).

“Sembra proprio che questo malware, nei limiti del possibile, cerchi di evitare di andare a colpire le macchine utilizzate dai medici in ambiente ospedaliero, così come i computer di cui viene fatto uso nella sfera dell’istruzione; esso attacca, invece, le macchine attraverso le quali vengono eseguite transazioni finanziarie, – concludono i ricercatori. Tecniche analoghe erano state individuate, verso la metà del 2015, relativamente ad una famiglia di programmi malware denominata Ursnif”.

Il malware in causa invia i risultati delle verifiche effettuate al proprio centro di comando e controllo. Se l’obiettivo sottoposto ad attacco risulta interessante per i malintenzionati, il server C&C restituisce un file DLL cifrato, il quale viene temporaneamente memorizzato su disco, e viene poi eseguito utilizzando una chiamata a rundll32.exe.

I ricercatori hanno denominato tale malware PowerSniff; uno dei sample del software nocivo è stato ugualmente analizzato presso l’Internet Storm Center del SANS Institute. Secondo Palo Alto, il raggio d’azione della suddetta campagna malevola è, per il momento, piuttosto limitato: in effetti, sono stati sinora individuati, all’incirca, soltanto 1.500 messaggi di spam.

Fonte: Networkworld

Macro dannose negli attacchi mirati

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox