News

Un blocker fileless all’attacco dei medici

I malintenzionati continuano a fare esperimenti con i cryptoblocker, provando vari metodi di infezione. Indagando su un cyber-incidente occorso ad una società operante nel settore dell’assistenza sanitaria, gli esperti di Carbon Black hanno individuato una nuova variante di ransomware; è stato osservato, nell’occasione, che per recapitare tale software nocivo alle potenziali vittime, i criminali informatici utilizzano Microsoft Word ed il componente di Windows denominato PowerShell.

Il ransomware, battezzato con il nome di PowerWare, si distingue dagli altri malware crittografici per il fatto di essere fileless; in precedenza, hanno fatto ricorso a questa particolare tecnica malevola gli “operatori” del temibile exploit pack HanJuan, mentre, pochissimo tempo fa, si è avvalso di tale peculiarità lo spyware PowerSniff.

Secondo Carbon Black, il nuovo blocker viene diffuso attraverso messaggi di spam contenenti, in allegato, un documento Word, mascherato sotto forma di fattura. Al momento dell’apertura del file, al destinatario dell’e-mail viene proposto di attivare una macro, necessaria (apparentemente) per una migliore visualizzazione dell’allegato. Se l’utente accoglie la richiesta, viene creato il processo cmd.exe, ed in seguito viene chiamato PowerShell, il framework nativo di Windows, per effettuare il download di uno script dannoso, eseguito successivamente. L’utilizzo di PowerShell, in tal caso, permette di evitare la scrittura dei file su disco, e consente al malware in questione di passare inosservato nell’ambito delle attività legittime condotte sul computer preso di mira.

“Il comando macro viene utilizzato per lanciare PowerShell, e per eseguire il download dello script ransomware, – ha dichiarato ai giornalisti di Threatpost Rico Valdez, senior threat intelligence researcher presso Carbon Black. – Attraverso le macro presenti nei documenti Word possono essere distribuiti molti programmi malware. Nella maggior parte dei casi la macro malevola provvede a scaricare codice binario aggiuntivo, ancor più dannoso (backdoor, etc.). Nel caso specifico, non si verifica il download di alcun file binario eseguibile; tutto il lavoro “sporco” viene in effetti svolto attraverso PowerShell (già presente nel sistema, su basi del tutto legittime)”.

Secondo Valdez, il nuovo cryptoblocker fa impropriamente uso di PowerShell anche per le operazioni di codifica dei file, una volta compromesso il sistema. “Il programma che, di fatto, realizza la cifratura dei file, è PowerShell, – ha affermato l’esperto. – Il relativo script viene quindi scaricato e “somministrato” a PowerShell. Abbiamo pertanto a che fare, in questo caso, con un malware di stampo non tradizionale; qui, in effetti, non viene richiesto alcun codice eseguibile aggiuntivo: quello che occorre è soltanto un documento di testo (script)”.

I file della vittima vengono così criptati: per fornire la relativa chiave di decodifica, i malintenzionati pretendono il pagamento di un riscatto pari a 500 dollari; trascorse due settimane dal momento dell’infezione, la somma richiesta viene addirittura raddoppiata, raggiungendo così i 1.000 dollari.

PowerWare non è l’unico cryptoblocker a far uso delle macro di Microsoft Office per avviare il processo di infezione, nonostante queste ultime risultino disattivate di default sui computer Windows. Questo “vettore”, in effetti, è stato già sperimentato da Locky, il ransomware che ha recentemente colpito le reti informatiche di strutture ospedaliere statunitensi situate, rispettivamente, ad Hollywood e nel Kentucky. Lo stesso Locky, tuttavia, ha utilizzato le macro per il download dei file dannosi sulla macchina compromessa, mentre PowerWare cerca di non ricorrere a tale modalità.

“Questo attacco si basa sulla notevole forza di persuasione dell’ingegneria sociale, capace, nella circostanza, di indurre l’utente ad attivare la macro malevola, – afferma Valdez. – Le macro sono incluse in molti documenti Word e numerosi fogli di calcolo Excel; l’utente, pertanto, può anche non sospettare in alcun modo l’inganno: tutto dipende, in sostanza, dal grado di esperienza e conoscenza di cui la potenziale vittima è in possesso, così come dalle peculiarità dell’ambiente lavorativo in cui quest’ultima opera”.

Fonte: Threatpost

Un blocker fileless all’attacco dei medici

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox