Cos'è questo nuovo malware che predilige vittime digitali italiane
Ruba le credenziali salvate sui browser ed è difficilissimo da scoprire
ADV
Le credenziali che gli italiani hanno salvato nei browser installati sui loro computer sono a rischio. Una minaccia orientata principalmente (ma non unicamente) all'Italia è stata scoperta (l'8 giugno) e l'analisi completa della minaccia è disponibile qui .
ADV
Come si attiva
ADV
L'attacco è capace di evadere i principali sistemi di protezione in commercio recapitando alla vittima un file di tipologia ZIP contenente un file di tipologia JavaScript capace di avviare la detonazione della minaccia. La vittima trova una email, nella propria casella di posta elettronica, con all'interno un link.
Cliccando su tale link la vittima scarica un file ZIP che, dipendentemente dalle configurazioni del proprio browser, viene automaticamente decompresso. A quel punto la vittima clicca nuovamente sul file appena decompresso avente come nome (in questo caso) scan.jse.
Si tratta di un file javascript ampiamente offuscato che utilizza chiamate ad "ActiveObjects" realizzato per piattaforme windows, per scaricare autonomamente dalla rete un nuovo file di tipologia eseguibile (SCR, per la precisione) e, sempre in modo autonomo, capace di eseguirlo. Tale file risulta essere un altro step intermedio della reale minaccia, in quanto implementa note funzionalità di anti-debugging implementate per confondere un eventuale analista. Questo stage estrae da "sé stesso" all'indirizzo 0x400000 byte codes e li avvia direttamente dalla memoria senza necessariamente salvarne il contenuto su file system.
Il payload finale, e quindi la reale minaccia, appartiene alla famiglia degli ursnif. Tale malware si insidia all'interno della macchina iniettandosi all'interno del processo Windows "Explorer" ed ereditando i suoi privilegi al fine di effettuare chiamate ai propri commands and controls (2c). I 2c individuati appartengono sia a spazi di indirizzamento appartenenti a "clear nets" (world wide web) che a spazi di indirizzamenti appartenenti a "dark-nets" (nel caso specifico Onion).
Cosa succede alle vittime
Il malware "esfiltra" informazioni dal PC della vittima, come principalmente credenziali di accesso salvate in locale, sia per richiedere nuovi moduli malevoli da installare sulla macchina vittima per nuovi attacchi in futuro.
Nonostante i principali distributori di prodotti di sicurezza siano stati avvisati ed abbiano prontamente posto rimedio all' assenza di individuazione della minaccia da parte della propria tecnologia, ancora numerosi utenti continuano a cliccare sul file .JSE e quindi potenzialmente ad infettarsi. La seguente immagine mostra che in data 8 Giugno 2018 su un totale di 59 AntiVirus 19 riescono ad individuare e bloccare la minaccia descritta mentre 40 AV non riescono.
Condividi
ADV