Malware controlla il PC ed elude l’antivirus caricandosi in memoria

0
108

Una security house ha scoperto, da poco, un virus che – propagatosi tramite allegato word compromesso – prende il controllo del PC in pochi minuti, caricandosi in memoria al fine di eludere tutti i principali antivirus attualmente in commercio.

Ultimamente, stiamo assistendo a diversi attacchi che dimostrano quanto le tecniche di aggressione degli hacker si siano affinate. Dopo il malware, nascosto in PowerPoint, che si attivava senza la necessità che l’utente cliccasse sul link malevolo, alcuni ricercatori ne hanno segnalato un altro che, grazie a tecniche di occultamento assai complesse, permette di prendere il controllo di un PC in pochi minuti, con relativo furto di informazioni sensibili, di grande rilievo finanziario.

La rilevazione di questa minaccia, secondo i colleghi di TomShw, e Security Info, è avvenuta grazie alla security house israeliana Morphisec: quest’ultima ha scoperto che il gruppo hacker FIN7 ha inviato – a diversi ristoranti o, comunque, esercizi commerciali che gestiscono i pagamenti tramite carte di credito – una mail dall’apparente aspetto professionale (con oggetto “menu.rtf”, “Olive Garden.rtf”, o “Chick-fil-A Order.rtf”), nella quale si proponeva loro il noleggio di una sala per un pranzo d’affari, o l’acquisto di un servizio tipo catering. Per consultare i dettagli della proposta, veniva fornito un allegato Word che, però, conteneva un pericoloso oggetto OLE.

Quest’ultimo, all’apertura dell’allegato, eseguiva un codice javascript che, prima richiedeva di disabilitare la visualizzazione protetta (adottata dalle ultime versioni di Office verso i contenuti ricevuti in posta elettronica) e, poi, dopo un lasso di tempo necessario a non indurre sospetti, scriveva delle stringhe di PowerShell Code nella RAM, premunendosi di rimuovere – ove possibile – il prefisso “MZ” che avrebbe potuto essere rilevato dagli antivirus.

A questo punto, sfruttando dei tipici strumenti “Meterpreter”, simili ai programmi di assistenza remota che non richiedono di installare alcunché in locale per eseguire dei test di sicurezza, si prendeva il controllo del computer, comunicando all’esterno tutte le informazioni economiche scovate sia nel PC compromesso che, in linea laterale, in tutti i dispositivi ad esso connessi nella medesima rete locale.

Ultimamente, stiamo assistendo a diversi attacchi che dimostrano quanto le tecniche di aggressione degli hacker si siano affinate. Dopo il malware, nascosto in PowerPoint, che si attivava senza la necessità che l’utente cliccasse sul link malevolo, alcuni ricercatori ne hanno segnalato un altro che, grazie a tecniche di occultamento assai complesse, permette di prendere il controllo di un PC in pochi minuti, con relativo furto di informazioni sensibili, di grande rilievo finanziario.

La rilevazione di questa minaccia, secondo i colleghi di TomShw, e Security Info, è avvenuta grazie alla security house israeliana Morphisec: quest’ultima ha scoperto che il gruppo hacker FIN7 ha inviato – a diversi ristoranti o, comunque, esercizi commerciali che gestiscono i pagamenti tramite carte di credito – una mail dall’apparente aspetto professionale (con oggetto “menu.rtf”, “Olive Garden.rtf”, o “Chick-fil-A Order.rtf”), nella quale si proponeva loro il noleggio di una sala per un pranzo d’affari, o l’acquisto di un servizio tipo catering. Per consultare i dettagli della proposta, veniva fornito un allegato Word che, però, conteneva un pericoloso oggetto OLE.

Quest’ultimo, all’apertura dell’allegato, eseguiva un codice javascript che, prima richiedeva di disabilitare la visualizzazione protetta (adottata dalle ultime versioni di Office verso i contenuti ricevuti in posta elettronica) e, poi, dopo un lasso di tempo necessario a non indurre sospetti, scriveva delle stringhe di PowerShell Code nella RAM, premunendosi di rimuovere – ove possibile – il prefisso “MZ” che avrebbe potuto essere rilevato dagli antivirus.

A questo punto, sfruttando dei tipici strumenti “Meterpreter”, simili ai programmi di assistenza remota che non richiedono di installare alcunché in locale per eseguire dei test di sicurezza, si prendeva il controllo del computer, comunicando all’esterno tutte le informazioni economiche scovate sia nel PC compromesso che, in linea laterale, in tutti i dispositivi ad esso connessi nella medesima rete locale.

Non perdere neanche un trucco scriviti alla newsletter ed unisciti ai nostri 207 iscritti.

BlogNews

Nessun Commento