da Hardware Upgrade :
I ricercatori di sicurezza di Zscaler hanno scoperto svariate campagne di
diffusione malware che mettono nel mirino gli utenti che scaricano copie
piratate di software abbastanza noti e diffusi. Si tratta di una
campagna che fa uso delle tecniche di SEO Poisoning e Malvertising per posizionare
meglio i siti shareware pericolosi nei risultati di ricerca Google,
cos da promuovere la distribuzione di software fasullo insieme ai codici
crack e ai generatori di chiavi per la loro attivazione.
I software utilizzati come esca per attrarre gli utenti e distribuir loro
malware sono abbastanza conosciuti:
- Adobe Acrobat Pro
- 3DMark
- 3DVista Virtual Tour Pro
- 7-Suite di recupero dati
- MAGIX Sound Force Pro
- Wondershare Dr. Fone
Si tratta di fatto di eseguibili dannosi che sono per mascherati da
installer dei software indicati qua sopra. Questi eseguibili si
trovano spesso su servizi di hosting e quindi le pagine di destinazione
reindirizzano le vittime ad altri servizi per il download dei file.
Un esempio dei siti dannosi posizionati su Google
I file scaricati sono costituiti da archivi contenenti un file .zip
protetto da password per eludere le scansioni antivirus, e un file di
testo semplice che contiene la password per accedere al pacchetto
compresso. Al suo interno si trova un eseguibile che genera un comando
PowerShell allo scopo di avviare un prompt dei comandi Windows dopo un
timeout di 10 secondi per aggirare l’analisi sandbox.
A questo punto tramite il prompt dei comandi viene scaricato un file JPG
che in realt una DLL con i suoi contenuti ordinati al contrario.
L’eseguibile di cui sopra si occupa ora di riordinare correttamente i
contenuti della DLL, riportandola ad una forma utilizzabile: si tratta di
un payload RedLine Stealer che viene caricato nel thread
corrente. RedLine Stealer un malware per il furto di informazioni
che pu sottrarre password memorizzate nei browser, dati di carte di
credito, bookmark, cookie, wallet di criptovalute, credenziali VPN e
molto altro.
I
ricercatori di Zscaler hanno notato poi che in alcuni casi venivano
distribuite copie del malware RecordBreaker che provvisto di un
potente strumento, Themida, che permette di adottare tecniche di
offuscamento. Anche RecordBreaker cerca di sottrarre informazioni
sensibili e riservate, similmente a RedLine Stealer.
Al di l dell’ovvio suggerimento di evitare di scaricare software pirata,
generatori di chiavi e qualsiasi cosa prometta di avere accesso a software
commerciali in maniera gratuita, bene comunque prestare attenzione anche
alla fonte su cui si trovano software apparentemente legittimi. Il
consiglio sempre quello di scaricare software solo da fonti fidate come
i siti web ufficiali dei produttori o gli app store gestiti dalle grandi
realt del web.