Trojan non basta più: arriva la variante Masslogger che mira al furto di credenziali degli utenti. Italia, Turchia e Lettonia i paesi più colpiti dal nuovo virus (ma nel mirino ci sono anche Bulgaria, Lituania, Ungheria, Estonia, Romania e Spagna) progettato per recuperare ed esfiltrare le credenziali da più fonti come Microsoft Outlook, Google Chrome e app di messaggistica istantanea. Una tipologia di attacco che adotta un approccio a più livelli.
Lo ha “isolato” Cisco Talos secondo cui gli autori delle minacce iniziano gli attacchi in modo “tradizionale”, ovvero tramite e-mail di phishing. Ma nella raffica di attacchi si nascondono messaggi di phishing “mascherati” da query di tipo aziendale e contenenti .RAR. Da qui parte il gioco di rimbalzi: espansione in file con estensione del nome diversa, elusione dei controlli di sicurezza, attivazione del processo di infezione: lo script diventa il downloader che installa il loader malevolo.
Come funziona e quanto costa il Masslogger
Masslogger è un programma spyware abilitato al furto di credenziali del browser, della posta elettronica e della messaggistica istantanea. Il trojan è stato rilasciato ad aprile e da allora è stato venduto sui forum clandestini.
“Masslogger è un malware comune sviluppato e diffuso da quasi un anno – dice Vanja Svajcer, ricercatrice di Cisco Talos -. Viene venduto nei forum clandestini per una quantità di denaro relativamente modesta e può essere utilizzato da qualsiasi player malintenzionato”.
Dati utilizzati per attacchi successivi
Nonostante la maggior parte dell’attenzione delle aziende sembri rivolta ad attacchi di tipo ransomware, “è importante tenere a mente – si legge in una nota – che i criminali informatici sono molto attivi e possono infliggere danni significativi rubando le credenziali degli utenti: questi dati hanno un valore enorme per i criminali, non solo perché possono essere venduti, ma anche perché possono essere usati per nuovi attacchi”.
“La campagna osservata è quasi interamente eseguita e presente solo nella memoria, il che sottolinea l’importanza di condurre scansioni regolari della memoria – fa sapere Talos -. L’unico componente presente sul disco è l’allegato e il file della ‘guida’ Html”.
Secondo i ricercatori Masslogger è anche in grado di agire come “keylogger”, ma nella variante questa funzione appare disabilitata. Cisco Talos ritiene che, sulla base degli Indicators of Compromise, i cyberattaccanti possano anche essere collegati all’uso passato di Trojan AgentTesla, Formbook e AsyncRat.
