Malware MassLogger: cos’è e come difendersi

Scritto da Webristle

Ott 20, 2020

Ottobre 20, 2020

Il mondo dei malware è in costante aggiornamento.

Nell’incessante ricerca di un nuovo virus capace di aggirare le difese dei sistemi degli utenti, l’ultimo malware in circolazione è MassLogger. Questo nuovo malware si è diffuso anche in Italia e il suo scopo è quello di sottrarre le credenziali di privati e Pubbliche Amministrazioni. Tutto ciò avviene per ottenere l’accesso ai dati sensibili di tali soggetti.
Non è il primo post in cui affrontiamo il tema dei malware sul nostro blog.

 

Malware MassLogger cos’è

MassLogger è un malware che per la prima volta è stato identificato in Italia a giugno 2020.
Si tratta di un keylogger con codice malevolo scritto in .NET, con delle funzioni di infostealer e spyware.
Il suo scopo è quello di sottrarre le credenziali di accesso delle vittime, in modo da spiarle e da mettere in atto un furto di dati sensibili vero e proprio. Le mail malevole sono dirette sia a indirizzi di privati che a indirizzi appartenenti alla Pubblica Amministrazione.
Gli analisti hanno individuato gli indici di compromissione aggiornati, o IoC, attraverso i quali è possibile risalire alla nuova versione di MassLogger.

MassLogger e la sua diffusione in Italia nell’ultimo periodo

Come già accennato, il malware è arrivato in Italia solo di recente.
Inoltre, ha fatto la sua comparsa anche in Austria, Belgio, Repubblica Ceca, Danimarca, Francia, Gran Bretagna, Germania, Olanda, Spagna, USA.

 

Malware MassLogger: come avviene l’attacco

La principale e più pericolosa caratteristica di questo virus consiste nella velocità con cui si aggiorna.
Infatti, questo viene migliorato volta in volta attraverso l’aggiunta di nuove funzioni.
Ad oggi, è diventato capace di superare con facilità le misure di sicurezza adottate per smascherarlo, imparando a difendersi da queste.
Fino allo scorso giugno, l’attacco avveniva sotto forma di file eseguibile GuLoader criptato, ossia come downloader utilizzato per la distribuzione di malware e per scaricare payload crittografati presenti su piattaforme di file sharing legittime.
Il campione sottoposto ad analisi era contenuto in due packer .NET, tra di loro accomunati dalle tecniche utilizzate per occultare il proprio payload, così da rallentare l’analisi del codice malevolo.
Infatti, il primo packer possiede le risorse con il payload finale e il secondo packer esegue l’estrazione del payload e viene caricato nel primo per ottenere l’accesso a tutte le risorse di sistema già acquisite
tramite lo stesso.
Per debuggarlo, è necessario utilizzare il tool dnSpy di reverse engineering .NET.

 

MassLogger: cosa si rischia

Questo virus è un keylogger e stealer malware, pertanto punta ad estrarre i dati e a rubare informazioni.
I dati da attaccare sono scelti dai cyber criminali che se ne servono.
Infatti, si tratta di un programma dannoso che può essere acquistato, per cui alle sue spalle possono esserci tanti individui, anche non collegati tra loro e che perseguono scopi differenti.
Proprio per questo motivo, si tratta di un software pericoloso per il proprio dispositivo.
Data la sua struttura keylogger, il programma è capace di registrare i tasti premuti dall’utente, mettendo a rischio la sua privacy e la sicurezza delle proprie informazioni.
Tramite le funzioni di keylogging, infatti, si sottraggono le credenziali di accesso degli account, così da appropriarsi di numerose informazioni, per sonali o finanziarie, come ad esempio quelle relative al conto in banca o alla carta di credito.
Come stealer, MassLogger prende come bersaglio un vasto elenco di applicazioni per estrarre le credenziali di accesso e le informazioni sensibili memorizzate tramite queste. Soggetti ad attacchi sono:
1. browser, quindi Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Yandex, Vivaldi, Brave e Orbitum;
2. posta elettronica, come Foxmail, Outlook e Thunderbird;
3. messaggistica, quindi Telegram, Discord, Pidgin, QQ;
4. ClientVPN o NordVPN;
5. Client FTP – FileZilla.

Una volta ottenuto l’accesso agli account di comunicazione, come social network o indirizzo e-mail, i cyber criminali possono utilizzarli in modo improprio, per contattare i vostri amici e i vostri contatti, condividendo file infetti per diffondere il virus.
Inoltre, il virus può identificare la presenza di contenuti sensibili e compromettenti, così da utilizzarsi per ricattare gli utenti.
Insomma, perdite finanziarie, problemi di privacy e furto di informazioni e di identità sono le possibili conseguenze dannose derivanti da MassLogger.

 

MassLogger: come difendersi

Per prevenire un’infezione dovuta al malware MassLogger, bisogna prestare attenzione alle e-mail di phishing, in quanto sono il principale vettore di diffuzione. È importante non aprire mail sospette, soprattutto allegati e collegamenti presenti in esse, in quanto possono essere causa di infezione.
I download devono avvenire tramite fonti ufficiali e verificate e i prodotti scaricati devono essere attivati e aggiornati attraverso strumenti o funzioni forniti dagli sviluppatori, piuttosto che attraverso strumenti illegali, come il cracking, in quanto a rischio malware.
Inoltre, MassLogger potrebbe diffondersi anche tramite USB, per cui è importante installare un buon antivirus o un antispyware affidabili sul proprio PC e attivare il controllo sulle periferiche di archiviazione esterne.
In ambito aziendale, è necessario prevedere programmi di security awareness, che consentano ai dipendenti e agli utenti in contatto con l’organizzazione, quali clienti, fornitori e visitatori, di essere aggiornati sulle attuali minacce, così da difendersi in modo proattivo da attacchi alla sicurezza informatica.
Il nostro consiglio è quello di effettuare scansioni periodiche del sistema, così da individuare in tempo la presenza di un’eventuale minaccia.

 

 

Vuoi mettere al sicuro i tuoi dati da qualunque imprevisto? Contattaci! 

Articoli correlati

Cyber Insurance: cos’è e perché è fondamentale

Cosa è la cyber insurance La cyber insurance, nota anche come assicurazione cibernetica o assicurazione informatica, è un tipo di polizza assicurativa progettata per proteggere le organizzazioni dai rischi legati alle minacce e agli incidenti informatici. Queste...

Spear phishing: cos’è e come proteggersi

Spear phishing: cos’è e come proteggersi

Lo spear phishing rappresenta una minaccia sempre più sofisticata nel panorama della sicurezza informatica. Questa forma di attacco mirato va oltre le tecniche tradizionali di phishing, concentrandosi su individui specifici o aziende con un livello di precisione...

Teabot: cos’è e come difendersi dal banking trojan

Teabot: cos’è e come difendersi dal banking trojan

Aveva fatto la sua comparsa nel maggio 2021 e un anno dopo è tornato a colpire; stiamo parlando di Teabot, un trojan bancario in grado di rubare i dati di accesso ai conti degli utenti. Nascosto in app all'apparenza non pericolose, il malware Teabot aveva creato già...

Iscriviti alla nostra Newsletter

Ricevi consigli utili su come mantenerti sicuro nel mondo digitale una volta al mese!