Il malware MassLogger si sta diffondendo in Italia rubando credenziali a privati e PA: i dettagli - Cyber Security 360

L'ANALISI TECNICA

Il malware MassLogger si sta diffondendo in Italia rubando credenziali a privati e PA: i dettagli

Il nostro Paese è nel mirino di MassLogger, il keylogger che ruba credenziali di accesso e dati sensibili e che nelle ultime ore sta prendendo di mira utenti privati e utenze della Pubblica Amministrazione. Ecco tutti i dettagli e i consigli per prevenire l’infezione

29 Set 2020
Paolo Tarsitano

Editor Cybersecurity360.it

Da ieri è attiva in Italia una nuova campagna malspam (la sesta solo nel mese di settembre) che sta veicolando una variante di MassLogger, un malware identificato per la prima volta lo scorso mese di giugno. In particolare, si tratta di un keylogger il cui codice malevolo è scritto in .NET e presenta funzionalità di infostealer e spyware per rubare credenziali di accesso e spiare le vittime, con una varietà di routine per il furto di dati sensibili agli utenti.

Dalle analisi effettuate dal CERT-AgID in collaborazione con il ricercatore di sicurezza indipendente conosciuto con il nickname @JamesWT_MHT, la nuova ondata di e-mail malevoli è diretta indistintamente verso indirizzi di posta elettronica di privati e della pubblica amministrazione.

Analizzando alcuni campioni del malware, gli analisti sono riusciti ad individuare gli IoC (indici di compromissione) aggiornati che consentono di individuare la nuova variante di MassLogger.

Dalle evidenze emerse, inoltre, risulta che il malware è stato veicolato anche nei seguenti Paesi:

  • Austria
  • Belgio
  • Repubblica Ceca
  • Danimarca
  • Francia
  • Gran Bretagna
  • Germania
  • Olanda
  • Spagna
  • USA

MassLogger: tutti i dettagli tecnici

Una delle caratteristiche più pericolose di MassLogger è la sua velocità di aggiornamento: secondo i ricercatori di CoFense che a giugno scorso hanno individuato la prima variante, il malware viene costantemente migliorato con l’aggiunta di nuove funzionalità e nel tempo si è trasformato in uno strumento molto efficace in grado di superare facilmente le misure di sicurezza adottate per individuarlo e difendersi da esso.

Ad esempio, uno dei campioni di MassLogger isolato dai ricercatori lo scorso giugno è stato distribuito via e-mail come un file eseguibile GuLoader criptato, cioè un downloader molto utilizzato ultimamente come meccanismo di distribuzione di malware e per scaricare payload crittografati ospitati su piattaforme di file sharing legittime.

Una caratteristica, questa, che accomuna MassLogger all’altrettanto pericoloso keylogger AgentTesla: segno che gli attori della minaccia potrebbero essere gli stessi o in qualche modo potrebbero collaborare tra di loro.

In particolare, il campione analizzato era contenuto all’interno di due packer .NET (uno, CyaX, è stato già utilizzato in precedenti campagne malevoli e quindi conosciuto) accomunati dalle tecniche di occultazione del proprio payload. Un escamotage, quello di utilizzare due packer separati che serve a rallentare l’analisi del codice malevolo in quanto il primo packer ha le risorse contenenti il payload finale (e un assembly secondario per la decodifica dell’altro packer), ma è il secondo packer che ne esegue l’estrazione.

eventi digitali
Quale sia la tua esigenza di evento, noi l’abbiamo realizzata! Per il 2021 affidati a Digital360
Digital Transformation
Marketing

Sempre il secondo packer, inoltre, viene caricato nel contesto del primo ottenendo così l’accesso a tutte le risorse di sistema già acquisite da quest’ultimo, a partire da un buffer di dati e non è quindi possibile debuggarlo passo passo: si riesce a farlo utilizzando il tool dnSpy di reverse engineering .NET che permette di ricompilare i metodi di una classe. Reso “debuggabile” il secondo packer, il dump del payload finale, ovvero MassLogger, a quel punto è banale.

I consigli per prevenire una possibile infezione

Secondo i ricercatori di sicurezza, MassLogger ha tutte le carte in regola per continuare a diffondersi facilmente e anche molto velocemente.

Poiché il vettore di diffusione “predefinito” è rappresentato dalle e-mail di phishing, si raccomanda quindi di tenere d’occhio i messaggi di posta elettronica sospetti o inviati da contatti sconosciuti. Ricordiamo, infatti, che gli allegati di posta elettronica dannosi sono ancora il modo più diffuso per distribuire malware.

Poiché, inoltre, MassLogger potrebbe essere in grado di diffondersi anche via USB, è consigliabile installare sul proprio computer un valido software antivirus e attivare la funzione di controllo sulle periferiche di archiviazione esterne.

È sempre utile, poi, soprattutto in ambito aziendale, prevedere programmi di security awareness per consentire ai dipendenti e a tutti gli utenti dell’organizzazione (quindi anche clienti, fornitori ed eventuali visitatori) di rimanere aggiornati sull’attuale panorama delle minacce ed essere quindi in grado di difendersi in modo proattivo dalle minacce alla sicurezza informatica.

Articolo pubblicato il 12 giugno 2020 e aggiornato in seguito all’identificazione della nuova variante di MassLogger che sta colpendo l’Italia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5