NewsSicurezza

Cisco Talos scova una variante del “vecchio” trojan Masslogger

Il Trojan ruba le password da Chrome e Outlook

Non è certo una novità che gli hacker continuano a migliorare i loro programmi dannosi per raggiungere il loro obiettivo. L’ultimo esempio è il riemergere di una campagna di furto di credenziali che colpisce i sistemi Windows e ruba informazioni dall’app Microsoft Outlook, dal browser Google Chrome e dalle app di messaggistica istantanea installate sulla macchina. Secondo i ricercatori di Cisco Talos questa nuova campagna utilizza Masslogger, un famoso programma spyware basato su .NET rilasciato nell’aprile dello scorso anno. I ricercatori hanno dichiarato che la serie di attacchi ha avuto come obiettivo principalmente gli utenti in Turchia, Lettonia e Italia, ma alcune campagne simili hanno infastidito gli utenti in Bulgaria, Lituania, Ungheria, Estonia, Romania e Spagna lo scorso anno.

trojan Masslogger Cisco TalosQuesta nuova variante si è rivelata più potente, in quanto non viene facilmente rilevata e apre contemporaneamente un buon numero di entrate per gli hacker. Utilizza il formato di file HTML compilato per avviare la catena di infezioni dove passa quasi inosservato a tutti i livelli di sicurezza in Windows. Questo tipo di formato di file viene utilizzato per i file della Guida di Windows e contiene script attivi, ma nel caso della nuova variante di Masslogger, c’è un codice JavaScript per attivare il malware.

Cisco Talos, ecco come funziona il trojan Masslogger

Nelle parole dei ricercatori di Cisco Talos, “l’infezione inizia con un messaggio di posta elettronica contenente un oggetto dall’aspetto legittimo che sembra riguardare un’azienda”. Questa e-mail ha un file RAR con un’estensione di file insolita. Normalmente, un file RAR ha un’estensione .rar ma l’allegato ha un’estensione .r00, che imita le caratteristiche di un file RAR, solo per aggirare eventuali programmi di rilevamento che filtrano gli allegati sulla base delle estensioni dei file. Successivamente, questa estensione viene modificata in .chm.

I ricercatori di Cisco Talos affermano che il CHM “è un file HTML compilato che incorpora un codice JavaScript per avviare il processo di infezione”. Ogni fase del processo viene “offuscata” per sfuggire al rilevamento “utilizzando firme singole”. La seconda fase consiste essenzialmente nella creazione di uno script PowerShell che decifra il codice in un downloader, che scarica il caricatore PowerShell principale per ospitare file malwareI caricatori di Masslogger sembrano essere ospitati su host legittimi compromessi con un nome file contenente una lettera e un numero concatenato con l’estensione del nome file .jpg”, hanno detto i ricercatori nel rapporto, ad esempio, “D9.jpg”.

La variante Masslogger recupera le credenziali dell’utente da diverse fonti, come browser e app di messaggistica istantanea, con un impatto sia sugli utenti personali sia su quelli aziendali. Masslogger può anche essere configurato come un keylogger che tiene traccia delle sequenze di tasti, ma questa variante non ha questa funzionalità, hanno dichiarato i ricercatori nel rapporto.

Alcuni degli esempi di questo spyware, secondo quanto trovato dai ricercatori di Cisco Talos da messaggi di posta truffaldini, questi hanno come oggetto “Richiesta del cliente nazionale”. Il corpo dell’e-mail aveva un allegato che un file denominato “70727_YK90054_Teknik_Cizimler.R09” dove il file RAR aveva un’estensione diversa da .rar. I ricercatori di Cisco Talos hanno osservato che questa variante di Masslogger non solo ruba i dati dalle posizioni SMTP, FTP e HTTP, ma anche dal client di messaggistica Pidgin, Discord, NordVPN, Outlook, Thunderbird, Firefox, QQ Browser e tutti i browser basati su Chromium come come Google Chrome, Microsoft Edge, Opera e Brave.

Come proteggersi

I ricercatori hanno avvisato che gli utenti non dovrebbero mai aprire un’e-mail dall’aspetto sospetto e, in caso affermativo, dovrebbero astenersi dal scaricare o fare clic su qualsiasi allegato di posta elettronica. L’utilizzo di soluzioni avanzate di protezione dal malware è un’alternativa ideale per proteggere il PC per intero e non solo le e-mail.

HP - PC Chromebook 14a-na0031nl, Intel Pentium Silver N5030 , RAM 8 GB, eMMC 128 GB, Sistema Operativo Chrome OS, Google Play Store, Schermo FHD 14", Audio Bang&Olufsen, USB-C, Webcam, Argento
  • Sistema operativo: chrome os; grazie alle tante app disponibili nel google play store, chrome os ti consente di fare tutto ciò che vuoi; per il lavoro, lo studio e il tempo libero, online e offline
  • Processore: intel pentium silver n5030
  • Memoria: ram 8 gb - emmc 128 gb
  • Schermo: display 14” hd 1366 x 768 antiriflesso, micro-edge, 220 nit
  • Caratteristiche: wi-fi, bluetooth, webcam hp wide vision 720p hd con microfono digitale dual-array integrato, casse audio, lettore sd e micro sd, usb type-c

Danilo Loda

100% "milanes", da una vita scrivo di bit e byte e di quanto inizia con on e finisce con off. MI piace tutto quello che fa rumore, meglio se con un motore a scoppio. Amo viaggiare (senza google Maps) lo sport, soprattutto se è colorato di neroazzuro.

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button