Non è certo una novità che gli hacker continuano a migliorare i loro programmi dannosi per raggiungere il loro obiettivo. L’ultimo esempio è il riemergere di una campagna di furto di credenziali che colpisce i sistemi Windows e ruba informazioni dall’app Microsoft Outlook, dal browser Google Chrome e dalle app di messaggistica istantanea installate sulla macchina. Secondo i ricercatori di Cisco Talos questa nuova campagna utilizza Masslogger, un famoso programma spyware basato su .NET rilasciato nell’aprile dello scorso anno. I ricercatori hanno dichiarato che la serie di attacchi ha avuto come obiettivo principalmente gli utenti in Turchia, Lettonia e Italia, ma alcune campagne simili hanno infastidito gli utenti in Bulgaria, Lituania, Ungheria, Estonia, Romania e Spagna lo scorso anno.
Cisco Talos, ecco come funziona il trojan Masslogger
Nelle parole dei ricercatori di Cisco Talos, “l’infezione inizia con un messaggio di posta elettronica contenente un oggetto dall’aspetto legittimo che sembra riguardare un’azienda”. Questa e-mail ha un file RAR con un’estensione di file insolita. Normalmente, un file RAR ha un’estensione .rar ma l’allegato ha un’estensione .r00, che imita le caratteristiche di un file RAR, solo per aggirare eventuali programmi di rilevamento che filtrano gli allegati sulla base delle estensioni dei file. Successivamente, questa estensione viene modificata in .chm.
I ricercatori di Cisco Talos affermano che il CHM “è un file HTML compilato che incorpora un codice JavaScript per avviare il processo di infezione”. Ogni fase del processo viene “offuscata” per sfuggire al rilevamento “utilizzando firme singole”. La seconda fase consiste essenzialmente nella creazione di uno script PowerShell che decifra il codice in un downloader, che scarica il caricatore PowerShell principale per ospitare file malware. “I caricatori di Masslogger sembrano essere ospitati su host legittimi compromessi con un nome file contenente una lettera e un numero concatenato con l’estensione del nome file .jpg”, hanno detto i ricercatori nel rapporto, ad esempio, “D9.jpg”.
Alcuni degli esempi di questo spyware, secondo quanto trovato dai ricercatori di Cisco Talos da messaggi di posta truffaldini, questi hanno come oggetto “Richiesta del cliente nazionale”. Il corpo dell’e-mail aveva un allegato che un file denominato “70727_YK90054_Teknik_Cizimler.R09” dove il file RAR aveva un’estensione diversa da .rar. I ricercatori di Cisco Talos hanno osservato che questa variante di Masslogger non solo ruba i dati dalle posizioni SMTP, FTP e HTTP, ma anche dal client di messaggistica Pidgin, Discord, NordVPN, Outlook, Thunderbird, Firefox, QQ Browser e tutti i browser basati su Chromium come come Google Chrome, Microsoft Edge, Opera e Brave.
Come proteggersi
I ricercatori hanno avvisato che gli utenti non dovrebbero mai aprire un’e-mail dall’aspetto sospetto e, in caso affermativo, dovrebbero astenersi dal scaricare o fare clic su qualsiasi allegato di posta elettronica. L’utilizzo di soluzioni avanzate di protezione dal malware è un’alternativa ideale per proteggere il PC per intero e non solo le e-mail.
- Sistema operativo: chrome os; grazie alle tante app disponibili nel google play store, chrome os ti consente di fare tutto ciò che vuoi; per il lavoro, lo studio e il tempo libero, online e offline
- Processore: intel pentium silver n5030
- Memoria: ram 8 gb - emmc 128 gb
- Schermo: display 14” hd 1366 x 768 antiriflesso, micro-edge, 220 nit
- Caratteristiche: wi-fi, bluetooth, webcam hp wide vision 720p hd con microfono digitale dual-array integrato, casse audio, lettore sd e micro sd, usb type-c