Da ieri è attiva in Italia una nuova campagna malspam (la sesta solo nel mese di settembre) che sta veicolando una variante di MassLogger, un malware identificato per la prima volta lo scorso mese di giugno. In particolare, si tratta di un keylogger il cui codice malevolo è scritto in .NET e presenta funzionalità di infostealer e spyware per rubare credenziali di accesso e spiare le vittime, con una varietà di routine per il furto di dati sensibili agli utenti.
Dalle analisi effettuate dal CERT-AgID in collaborazione con il ricercatore di sicurezza indipendente conosciuto con il nickname @JamesWT_MHT, la nuova ondata di e-mail malevoli è diretta indistintamente verso indirizzi di posta elettronica di privati e della pubblica amministrazione.
Analizzando alcuni campioni del malware, gli analisti sono riusciti ad individuare gli IoC (indici di compromissione) aggiornati che consentono di individuare la nuova variante di MassLogger.
Dalle evidenze emerse, inoltre, risulta che il malware è stato veicolato anche nei seguenti Paesi:
- Austria
- Belgio
- Repubblica Ceca
- Danimarca
- Francia
- Gran Bretagna
- Germania
- Olanda
- Spagna
- USA
Indice degli argomenti
MassLogger: tutti i dettagli tecnici
Una delle caratteristiche più pericolose di MassLogger è la sua velocità di aggiornamento: secondo i ricercatori di CoFense che a giugno scorso hanno individuato la prima variante, il malware viene costantemente migliorato con l’aggiunta di nuove funzionalità e nel tempo si è trasformato in uno strumento molto efficace in grado di superare facilmente le misure di sicurezza adottate per individuarlo e difendersi da esso.
Ad esempio, uno dei campioni di MassLogger isolato dai ricercatori lo scorso giugno è stato distribuito via e-mail come un file eseguibile GuLoader criptato, cioè un downloader molto utilizzato ultimamente come meccanismo di distribuzione di malware e per scaricare payload crittografati ospitati su piattaforme di file sharing legittime.
Una caratteristica, questa, che accomuna MassLogger all’altrettanto pericoloso keylogger AgentTesla: segno che gli attori della minaccia potrebbero essere gli stessi o in qualche modo potrebbero collaborare tra di loro.
In particolare, il campione analizzato era contenuto all’interno di due packer .NET (uno, CyaX, è stato già utilizzato in precedenti campagne malevoli e quindi conosciuto) accomunati dalle tecniche di occultazione del proprio payload. Un escamotage, quello di utilizzare due packer separati che serve a rallentare l’analisi del codice malevolo in quanto il primo packer ha le risorse contenenti il payload finale (e un assembly secondario per la decodifica dell’altro packer), ma è il secondo packer che ne esegue l’estrazione.
I consigli per prevenire una possibile infezione
Secondo i ricercatori di sicurezza, MassLogger ha tutte le carte in regola per continuare a diffondersi facilmente e anche molto velocemente.
Poiché il vettore di diffusione “predefinito” è rappresentato dalle e-mail di phishing, si raccomanda quindi di tenere d’occhio i messaggi di posta elettronica sospetti o inviati da contatti sconosciuti. Ricordiamo, infatti, che gli allegati di posta elettronica dannosi sono ancora il modo più diffuso per distribuire malware.
Poiché, inoltre, MassLogger potrebbe essere in grado di diffondersi anche via USB, è consigliabile installare sul proprio computer un valido software antivirus e attivare la funzione di controllo sulle periferiche di archiviazione esterne.
È sempre utile, poi, soprattutto in ambito aziendale, prevedere programmi di security awareness per consentire ai dipendenti e a tutti gli utenti dell’organizzazione (quindi anche clienti, fornitori ed eventuali visitatori) di rimanere aggiornati sull’attuale panorama delle minacce ed essere quindi in grado di difendersi in modo proattivo dalle minacce alla sicurezza informatica.
Articolo pubblicato il 12 giugno 2020 e aggiornato in seguito all’identificazione della nuova variante di MassLogger che sta colpendo l’Italia.