Spyware, in Italia scatta l'allarme variante Masslogger. A rischio chat e messaggi - CorCom

CYBERSECURITY

Spyware, in Italia scatta l’allarme variante Masslogger. A rischio chat e messaggi

I ricercatori di Cisco Talos hanno “isolato” il programma in grado di infiltrarsi su Microsoft Outlook, Google Chrome e app di messaggistica istantanea attraverso phishing “mascherati”

03 Mar 2021

L. O.

Trojan non basta più: arriva la variante Masslogger che mira al furto di credenziali degli utenti. Italia, Turchia e Lettonia i paesi più colpiti dal nuovo virus (ma nel mirino ci sono anche Bulgaria, Lituania, Ungheria, Estonia, Romania e Spagna) progettato per recuperare ed esfiltrare le credenziali da più fonti come Microsoft Outlook, Google Chrome e app di messaggistica istantanea. Una tipologia di attacco che adotta un approccio a più livelli.

Lo ha “isolato” Cisco Talos secondo cui gli autori delle minacce iniziano gli attacchi in modo “tradizionale”, ovvero tramite e-mail di phishing. Ma nella raffica di attacchi si nascondono messaggi di phishing “mascherati” da query di tipo aziendale e contenenti .RAR. Da qui parte il gioco di rimbalzi: espansione in file con estensione del nome diversa, elusione dei controlli di sicurezza, attivazione del processo di infezione: lo script diventa il downloader che installa il loader malevolo.

Come funziona e quanto costa il Masslogger

Masslogger è un programma spyware abilitato al furto di credenziali del browser, della posta elettronica e della messaggistica istantanea. Il trojan è stato rilasciato ad aprile e da allora è stato venduto sui forum clandestini.

WEBINAR
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity

“Masslogger è un malware comune sviluppato e diffuso da quasi un anno – dice Vanja Svajcer, ricercatrice di Cisco Talos -. Viene venduto nei forum clandestini per una quantità di denaro relativamente modesta e può essere utilizzato da qualsiasi player malintenzionato”.

Dati utilizzati per attacchi successivi

Nonostante la maggior parte dell’attenzione delle aziende sembri rivolta ad attacchi di tipo ransomware, “è importante tenere a mente  – si legge in una nota – che i criminali informatici sono molto attivi e possono infliggere danni significativi rubando le credenziali degli utenti: questi dati hanno un valore enorme per i criminali, non solo perché possono essere venduti, ma anche perché possono essere usati per nuovi attacchi”.

“La campagna osservata è quasi interamente eseguita e presente solo nella memoria, il che sottolinea l’importanza di condurre scansioni regolari della memoria – fa sapere Talos -. L’unico componente presente sul disco è l’allegato e il file della ‘guida’ Html”.

Secondo i ricercatori Masslogger è anche in grado di agire come “keylogger”, ma nella variante questa funzione appare disabilitata. Cisco Talos ritiene che, sulla base degli Indicators of Compromise, i cyberattaccanti possano anche essere collegati all’uso passato di Trojan AgentTesla, Formbook e AsyncRat.

@RIPRODUZIONE RISERVATA
Argomenti trattati

Personaggi

V
Vanja Svajcer

Aziende

C
Cisco Talos

Approfondimenti

M
masslogger
S
spyware
T
trojan

Articolo 1 di 4