Il malware DMOSK prende di mira l’Italia

Giu 11, 2018 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS, Trojan 0

Si tratta di un “dropper” che scarica una variante di un trojan conosciuto. La minaccia arriva attraverso file in formato compresso ZIP.

Non sono molto frequenti, ma ogni tanto i ricercatori segnalano campagne di distribuzione di malware che prendono di mira in maniera specifica il nostro paese.

L’ultimo caso di un certo rilievo riguardava il trojan URSNIF (ne abbiamo parlato in questo articolo), che lo scorso aprile era stato distribuito usando uno stratagemma particolarmente insidioso.

URSNIF ha a che fare anche con questo nuovo allarme, ma in abbinata con un “collega” che utilizza una tecnica completamente diversa. Come spiega il ricercatore Marco Ramilli di Yoroi in un post su Internet, infatti, DMOSK sfrutta una catena di vulnerabilità per compromettere i computer delle potenziali vittime e installare al loro interno una nuova versione di URSNIF.

Tutto comincia con un’email al cui interno è inserito un link. Se il destinatario fa clic sul collegamento, questo avvia il download e la decompressione automatica di un file ZIP.

Al suo interno c’è un JavaScript (in formato JSE) che a questo punto viene presentato nella cartella e che, per il suo avvio, richiede un ulteriore clic da parte della vittima. Se aperto, il JavaScript avvia il terzo stadio dell’attacco, attraverso il download di un file in formato SCR che viene automaticamente avviato.

Secondo il report, il file eseguibile ha ancora un basso livello di rilevamento da parte dei motori antivirus. Un controllo su Virus Total (il sito che consente di scansire un file utilizzando diversi motori antivirus – ndr) avrebbe infatti dimostrato che solo 9 software antivirus su 69 lo identificano come pericoloso.

Il basso tasso di rilevamento potrebbe consentire al malware di diffondersi senza troppi problemi.

La quarta fase dell’attacco avvia l’esecuzione in memoria di una variante di URSNIF che, una volta installato, avvia immediatamente le comunicazioni con il server Command and Control che consente all’autore di gestirne il funzionamento.

Come sottolinea Ramilli, il trojan utilizza un sistema di black list per selezionare i suoi obiettivi. I parametri utilizzati comprendono la posizione (sembra prenda di mira specificatamente l’Italia) e la tipologia di macchina infetta, evitando di avviare l’installazione sui server.

Un elemento curioso riguarda il fatto che nella black list c’è una voce specifica che blocca l’installazione nel caso in cui il computer colpito si trovi nel dominio del Massachusetts Institute of Technologies.

Il trojan, una volta installato, è in grado di sottrarre informazioni sensibili dal computer compromesso (principalmente credenziali di servizi Internet) ma le sue funzionalità possono essere espanse attraverso l’installazione di ulteriori moduli.

Secondo i dati raccolti da Yoroi, il numero di presunte vittime (basato sulle email corrispondenti ai destinatari che hanno aperto il link infetto) è di qualche migliaio, precisamente 6.617.

Condividi l'articolo