Cisco Talos rileva una variante del trojan Masslogger: una campagna malevola che mira al furto di credenziali degli utenti. Italia, Turchia e Lettonia sono i paesi più colpiti da Masslogger, una tipologia di attacco che adotta un approccio a pù livelli.
I criminali informatici sono alla costante ricerca di nuovi metodi ch permettano di monetizzare i loro attacchi. Cisco Talos ha recentemente scoperto una variante del trojan denominato Masslogger che mira a colpire i sistemi Windows degli utenti in diversi paesi tra cui Italia, Turchia e Lettonia. In settembre, ottobre e novembre 2020, tipologie di attacco simili sono state rilevate anche in Bulgaria, Lituania, Ungheria, Estonia, Romania e Spagna.
La nuova versione del trojan Masslogger utilizza un approccio a più livelli, dall’email di phishing iniziale fino al payload finale, in questo modo i criminali informatici cercano di eludere il rilevamento. L’attacco inizia con un messaggio contenente un oggetto che sembra riferirsi a un’azienda. L’e-mail contiene un allegato RAR, che si espande successivamente in file con estensione del nome del file diversa (CHM). In questo modo l’e-mail elude i controlli di sicurezza che monitorano proprio l’estensione del file. Il file CHM è un file che contiene del codice JavaScript che serve proprio per avviare il processo di infezione: lo script in realtà è un downloader che installa il loader malevolo.
Nonostante la maggior parte dell’attenzione delle aziende sembra essere rivolta ad attacchi di tipo ransomware, è importante tenere a mente che gli i criminali informatici sono molto attivi e possono infliggere danni significativi rubando le credenziali degli utenti: questi dati hanno un valore enorme per i criminali, non solo perché possono essere venduti, ma anche perché possono essere usati per nuovi attacchi.
I punti salienti:
- È sempre più difficile per i criminali informatici portare a termine un attacco a causa delle tecniche di protezione sempre più efficaci
- L’attacco rilevato da Cisco Talos utilizza una variante del trojan Masslogger progettato per rubare le credenziali dell’utente da più fonti come Microsoft Outlook, Google Chrome e instant messenger.
- A parte l’allegato e-mail iniziale, tutte le fasi dell’attacco sono di tipo ‘fileless’ e si verificano esclusivamente in memoria.
- Questa tipologia di attacco utilizza diverse tecniche elencate nel MITRE ATT&CK framework .
Per maggiori informazioni: https://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html