Gen 05, 2022 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS, Scenario 0

Nuova tecnica sviluppata dai pirati informatici che sfruttano il malware ZLoader, già usato per diffondere ransomware come Conti e Ryuk.

Il sistema di certificazione digitale è uno strumento utile per verificare l’affidabilità di un’applicazione, ma quando i pirati riescono a violarne l’integrità si trasforma in una micidiale arma a doppio taglio.

Nel caso della campagna Malsmoke, individuata e descritta in un report pubblicato su Internet dai ricercatori di Check Point, è stato utilizzato un certificato valido di Microsoft che consente ai pirati di portare a termine i loro attacchi.

Il vettore iniziale di attacco sarebbe un falso aggiornamento Java che avvia la catena di infezione, utilizzando una serie di tecniche che consente a ZLoader di aggirare i sistemi di controllo.

Secondo i ricercatori, il file collegato al certificato si chiama appContast.dll e consente loro di avviare l’iniezione al suo interno del payload.

Se in passato ZLoader era stato utilizzato come veicolo per la diffusione di noti ransomware come Ryuk e Conti, in questa particolare campagna i cyber criminali utilizzano invece un software per la gestione in remoto del computer, che permette di caricare e scaricare file, oltre a eseguire script sulla macchina compromessa.

Si tratta di Atera, un software commerciale che gli autori degli attacchi non si sono nemmeno sprecati ad acquistare: sembra infatti che sfruttino i 30 giorni di prova gratuiti offerti dal programma.

L’obiettivo, insomma, sarebbe quello di rubare informazioni dal computer infetto, anche se le capacità del software non escludono che i pirati possano in seguito utilizzarlo per ulteriori tipologie di attacco.

Stando alle analisi di Check Point, la campagna di attacchi sarebbe iniziata nello scorso novembre e al momento le vittime complessive sarebbero più di 2.000.