Cisco Talos rileva una variante del trojan Masslogger

Massimo Uccelli
Posted by Massimo Uccelli 09/03/2021 3 minuti di lettura

Italia, Turchia e Lettonia sono i paesi più colpiti da Masslogger, una tipologia di attacco che adotta un approccio a più livelli.

I punti salienti:

  • È sempre più difficile per i criminali informatici portare a termine un attacco a causa delle tecniche di protezione sempre più efficaci
  • L’attacco rilevato da Cisco Talos utilizza una variante del trojan Masslogger progettato per rubare le credenziali dell’utente da più fonti come Microsoft Outlook, Google Chrome e instant messenger.
  • A parte l’allegato e-mail iniziale, tutte le fasi dell’attacco sono di tipo ‘fileless’  e si verificano esclusivamente in memoria.
  • Questa tipologia di attacco utilizza diverse tecniche elencate nel MITRE ATT&CK framework .

Milano, 3 marzo 2021 – I criminali informatici sono alla costante ricerca di nuovi metodi ch permettano di monetizzare i loro attacchi. Cisco Talos ha recentemente scoperto una variante del trojan denominato Masslogger che mira a colpire i sistemi Windows degli utenti in diversi paesi tra cui Italia, Turchia e Lettonia. In settembre, ottobre e novembre 2020, tipologie di attacco simili sono state rilevate anche in Bulgaria, Lituania, Ungheria, Estonia, Romania e Spagna.

La nuova versione del trojan Masslogger utilizza un approccio a più livelli, dall’email di phishing iniziale fino al payload finale, in questo modo i criminali informatici cercano di eludere il rilevamento. L’attacco inizia con un messaggio contenente un oggetto che sembra riferirsi a un’azienda. L’e-mail contiene un allegato RAR, che si espande successivamente in file con  estensione del nome del file diversa (CHM). In questo modo l’e-mail elude i controlli di sicurezza che monitorano proprio l’estensione del file. Il file CHM è un file che contiene del codice JavaScript che serve proprio per avviare il processo di infezione: lo script in realtà è un downloader che installa il loader malevolo.

Nonostante la maggior parte dell’attenzione delle aziende sembra essere rivolta ad attacchi di tipo ransomware, è importante tenere a mente che gli i criminali informatici sono molto attivi e possono infliggere danni significativi rubando le credenziali degli utenti: questi dati hanno un valore enorme per i criminali, non solo perché possono essere venduti, ma anche perché possono essere usati per nuovi attacchi.

Per maggiori informazioni: https://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html

Massimo Uccelli
Massimo Uccelli
Visualizza Più Articoli
Fondatore e admin. Appassionato di comunicazione e brand reputation. Con Consulenze Leali mi occupo dei piccoli e grandi problemi quotidiani delle PMI.
Translate »
Powered by  GDPR Cookie Compliance
Panoramica privacy

Questo sito Web utilizza i cookie in modo che possiamo fornirti la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web trovi più interessanti e utili Per vedere tutta la nostra Privacy Policy, clicca qui..