Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
Attacchi mirati alle banche per 1 miliardo di dollari. Ecco il gruppo Silence
Usano strumenti e tecniche di attacco simili ai “colleghi” di Carbanak, ma non avrebbero legami con il celebre gruppo di pirati informatici.
Sono veri professionisti che prendono di mira istituti di credito, società finanziari e circuiti bancari. Il gruppo Silence, come è stato battezzato dai ricercatori di Kaspersky Lab, si è ritagliato un ruolo di primo piano nel panorama della criminalità informatica attraverso una serie di azioni che potrebbero aver fruttato fino a 1 miliardo di dollari.
I pirati informatici, che secondo Sergey Lozhkin hanno un modus operandi molto simile a quello del gruppo Carbanak (di cui abbiamo parlato più volte in passato) e utilizzano strumenti che gli consentono di infiltrare le reti informatiche dei loro bersagli per acquisire le informazioni che gli permettono poi di sottrarre il denaro.
Tutto comincia con un classico messaggio di Spear Phishing, cioè un’email “mirata” che i cyber-criminali confezionano con cura, utilizzando come (apparente) mittente un soggetto degno di fiducia. L’obiettivo di solito è un semplice impiegato, il cui computer viene violato per accedere alla rete locale dell’azienda.
Nel dettaglio, secondo i ricercatori, il gruppo Silence utilizzerebbe gli account di altri impiegati del settore finanziario che hanno già infettato, facendo leva sul fatto che le potenziali vittime non si insospettiscano di fronte all’invio di documenti da parte loro.
Il gruppo Silence ha colpito prevalentemente in Russia, Armenia e Malesia. Seconod i ricercatori i cyber-criminali sarebbero di origine russa.
Sotto un profilo tecnico, i pirati del gruppo Silence si distinguono per l’utilizzo di una tecnica di attacco piuttosto particolare. Secondo i ricercatori di Kaspersky, infatti, utilizzerebbero un formato particolare di file per portare i loro attacchi.
Si tratta di CHM (Microsoft Compressed HTML Help), un formato proprietario di Microsoft usato per l’aiuto in linea di Windows.
Perché questo formato? I file in formato CHM hanno una particolarità: permettono di integrare file HTM che, in questo caso, contengono un JavaScript in grado di scaricare ed eseguire il malware.
Il codice del JavaScript è offuscato. Il suo obiettivo è scaricare e installare la backdoor che consente di pirati di esfiltrare informazioni dal PC infetto.
Una volta introdottisi nella rete, i pirati procedono poi cercando di compromettere i computer di loro interesse per carpire le informazioni che gli interessano. Una delle tattiche utilizzate (simile a quella usata dal gruppo Carbanak in altre occasioni) è quella di utilizzare CreateCompatibleBitmap e GdipCreateBitmapFromHBITMAP per catturare periodicamente schermate dei PC infetti.
È da queste immagini, secondo i ricercatori, che i cyber-criminali riescono a monitorare l’attività delle loro vittime e a ottenere le informazioni che gli servono.
Condividi l'articolo
Pirati scatenati in Malesia. “Hanno hackerato un’intera nazione”
Usate WordPress? Aggiornate di corsa alla 4.8.3!
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Colt ha completato il trial di crittografia quantistica... Colt Technology Services ha annunciato di aver completato... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...
Ransomware: la serie
No posts found.
