Aggiornamenti recenti Novembre 25th, 2024 3:23 PM
Set 13, 2018 Marco Schiaffino In evidenza, Malware, News, RSS 0
Spesso gli allarmi riguardanti la diffusione di un malware riempiono caselle di posta elettronica e le pagine dei siti specializzati al momento della loro comparsa, salvo poi perderne le tracce qualche giorno dopo, quando l’effetto “novità” si esaurisce.
Questo, però, non significa che trojan, ransomware e worm non rappresentino più un pericolo per semplici utenti e aziende.
A ricordarlo è CyberArk, che in un report molto dettagliato pubblicato su Internet analizza la “carriera” di Loki, un trojan comparso nel 2015 e che a distanza di due anni non si è ancora deciso a lasciare le scene.
Anzi: come spiegano i ricercatori, il trojan si è evoluto e oggi viene utilizzato in nuove campagne di distribuzione che prendono di mira principalmente le aziende.
Tuttavia, Loki rimane un malware di “fascia media”, che viene venduto sul mercato nero (compresi i server C&C per controllarlo) per poche decine di dollari. Una caratteristica che dovrebbe far suonare un campanello di allarme in chi si occupa di sicurezza.
Se un trojan di taglio piuttosto “popolare” mantiene la sua efficacia per più di due anni, quali rischi corriamo di fronte a minacce più sofisticate?
Loki, nella sua prima incarnazione, era progettato per rubare le credenziali di accesso (username e password) a determinati servizi e trasmetterli al server Command and Control dove i pirati informatici memorizzavano le informazioni per poi utilizzarle in operazioni di hacking o rivenderle sul mercato nero.
Il modulo dedicato al furto di credenziali è programmato per colpire circa 80 software, tra cui tutti i browser più diffusi, i programmi di file sharing, i client di posta elettronica e i software per il controllo remoto.
Nell’ottica di un pirata informatico stiamo parlando in buona sostanza di tutto ciò che può permettere di monetizzare l’attacco a breve termine (come nel caso di username e password che possono essere venduti) o di informazioni che consentono di portare ulteriori attacchi alla macchina infetta.
Con il tempo, però, gli autori del trojan hanno ampliato le sue funzionalità, inserendo anche una funzione di key logging che gli consente di registrare tutto ciò che viene digitato sul computer infetto.
Un salto di qualità che non solo gli permette di sottrarre le credenziali di accesso di qualsiasi tipo di servizio, ma di ottenere anche informazioni sensibili di altro tipo, che possono anche essere scremate facilmente attraverso l’uso di sistemi di intelligenza artificiale basati su parole chiave di loro interesse.
Nonostante ciò, le soluzioni tecniche adottate dagli autori del trojan risultano tutt’altro che evolute. Per nascondere la sua presenza, per esempio, il malware utilizza un trucchetto piuttosto banale, inserendo il suo eseguibile e i file collegati in una cartella di Windows e attribuendogli la classificazione di “file di sistema”.
Dal momento che Windows ha come impostazione predefinita quella di nascondere i file di sistema, questo stratagemma impedisce agli utenti meno smaliziati di individuare i file del trojan.
L’indagine di CyberArk mette in luce anche un altro aspetto, su cui i ricercatori di sicurezza battono da tempo per sensibilizzare le aziende riguardo le nuove modalità con cui agiscono i cyber-criminali.
Nel corso della loro indagine, infatti, gli autori della ricerca hanno individuato e analizzato un server C&C collegato a Loki, scoprendo che lo stesso server veniva utilizzato anche per gestire una botnet IoT (Izuku) che prende di mira i router di D-Link, Huawei e Realtek.
Insomma: l’ennesima dimostrazione di come il mondo del cyber-crimine sia definitivamente approdato a una dimensione “imprenditoriale” in cui i soggetti si muovono attraverso collaborazioni e l’utilizzo delle logiche di “malware as a service” con sempre maggiore disinvoltura.
Nov 07, 2024 0
Set 24, 2024 0
Set 16, 2024 0
Lug 18, 2024 0
Nov 25, 2024 0
Nov 25, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 25, 2024 0
Di recente CISA ha pubblicato la classifica delle...Nov 25, 2024 0
Ora che l’intelligenza artificiale è entrata a far...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 25, 2024 0
Di recente CISA ha pubblicato la classifica delle...Nov 25, 2024 0
Ora che l’intelligenza artificiale è entrata a far...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...