Kaspersky: scoperto un attacco in corso e un nuovo ransomware


16 Settembre 2023

Gli attacchi hacker sono all’ordine del giorno così come l’utilizzo dei dispositivi elettronici connessi, ormai sono sparsi in tutto il mondo e allo stesso modo un dispositivo connesso può essere un dispositivo vulnerabile. Gli esperti di Kaspersky hanno recentemente scoperto una nuova campagna malevola in cui gli autori hanno distribuito una backdoor sui dispositivi delle vittime attraverso una versione infetta di Free Download Manager, un famoso software gratuito. Con questa tipologia di attacco, una volta portata a termine l’infezione del dispositivo, i criminali informatici puntavano nel rubare informazioni personali come: dettagli di sistema, cronologia di navigazione, password salvate, file dei wallet di criptovalute e persino credenziali dei servizi cloud come Amazon Web Services o Google Cloud.

Kaspersky

In base alle prime indagini effettuate dagli esperti di Kaspersky sembrerebbe che si tratti di un attacco alla supply chain, ciò è stato scoperto perchè seguendo alcuni video d’installazione di Free Download Manager che sono su Youtube, hanno notato che alcuni cliccando sul download dal sito ufficiale scaricavano il file reale, mentre altri, cliccando sullo stesso download, scaricavano la versione malevola. Ciò potrebbe essere stato possibile dopo che i criminali informatici hanno programmato un reindirizzamento verso un link dannoso per farlo apparire periodicamente, oppure utilizzando la digital fingerprint della potenziale vittima e far apparire il link malevolo solo a persone mirate.

Questa campagna malevola sembrerebbe essere durata 3 anni, dal 2020 al 2022. Durante questo periodo di tempo abbastanza lungo sono state segnalate diverse problematiche e attività “fuori dal normale” del programma ma fino a questo annuncio di Kaspersky, nessuno si era accordo di potenziali attività malevoli perchè comunque sicuri di averlo scaricato dal sito ufficiale.

“Le varianti della backdoor analizzata sono state rilevate dalle soluzioni di Kaspersky per Linux sin dal 2013. Tuttavia, in generale, c’è l’errata convinzione che Linux sia immune ai malware, e perciò molti sistemi non hanno un’adeguata protezione di cybersecurity, rendendoli bersagli facili per i criminali informatici. Il caso di Free Download Manager evidenzia la difficoltà di individuare a occhio nudo un cyberattacco in atto su un sistema Linux, perciò è fondamentale che i computer Linux-based, compresi desktop e server, implementino misure di sicurezza affidabili ed efficaci”

Georgy Kucherin, Security Expert di GReAT, Kaspersky

Kaspersky ha scoperto la recente distribuzione di un nuovo malware

Le brutte notizie non finiscono qui, nell’ultima ricerca effettuata dal team di esperti di Kaspersky relativo alle attività del gruppo ransomware “Cuba”, è stato scoperto il rilascio di un nuovo e potente malware, ma partiamo passo dopo passo.

Cuba è gruppo di cybercriminali che hanno sviluppato un ceppo di ransomware a file singolo di difficile rilevazione. Questo famoso gruppo che comunica in Russo è conosciuto perchè prende di mira settori come retail, finanza, logistica, pubblica amministrazione e industria in Nord America, Europa, Oceania e Asia.

Il team di Kaspersky nel dicembre 2022 ha rilevato un grosso incidente in un sistema di un loro cliente che ha portato alla luce tre file sospetti che avevano il compito di avviare una sequenza di azioni per caricare la libreria nota come BUGHATCH. BUGHATCH è una backdoor sofisticata che si installa nella process memory ed esegue un blocco integrato di shellcode all’interno della memoria assegnata, utilizzando l’API di Windows che comprende varie funzioni. Successivamente, si connette a un server Command and Control (C2), in attesa di ricevere ulteriori istruzioni, ad esempio il download di software come Cobalt Strike Beacon e Metasploit. L’utilizzo di Veeamp nell’attacco suggerisce il coinvolgimento di Cuba, inoltre, un’ulteriore analisi di Kaspersky ha rivelato la presenza di moduli aggiuntivi, distribuiti dal gruppo Cuba, per migliorare le funzionalità del malware. Uno di questi moduli raccoglie le informazioni di sistema, che vengono inviate a un server attraverso richieste HTTP POST.

“Le nostre ultime scoperte sottolineano quanto sia importante avere accesso ai report e alle informazioni relative alle minacce più recenti. Dato che i gruppi ransomware come Cuba si evolvono e affinano le proprie tattiche, è fondamentale essere sempre al passo con i tempi per mitigare efficacemente i potenziali attacchi. Con il panorama delle minacce informatiche in costante evoluzione, la conoscenza è la miglior difesa contro i criminali informatici”

Gleb Ivanov, Cybersecurity Expert di Kaspersky

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *