Il mondo dei malware è in costante aggiornamento.
Nell’incessante ricerca di un nuovo virus capace di aggirare le difese dei sistemi degli utenti, l’ultimo malware in circolazione è MassLogger. Questo nuovo malware si è diffuso anche in Italia e il suo scopo è quello di sottrarre le credenziali di privati e Pubbliche Amministrazioni. Tutto ciò avviene per ottenere l’accesso ai dati sensibili di tali soggetti.
Non è il primo post in cui affrontiamo il tema dei malware sul nostro blog.
Malware MassLogger cos’è
MassLogger è un malware che per la prima volta è stato identificato in Italia a giugno 2020.
Si tratta di un keylogger con codice malevolo scritto in .NET, con delle funzioni di infostealer e spyware.
Il suo scopo è quello di sottrarre le credenziali di accesso delle vittime, in modo da spiarle e da mettere in atto un furto di dati sensibili vero e proprio. Le mail malevole sono dirette sia a indirizzi di privati che a indirizzi appartenenti alla Pubblica Amministrazione.
Gli analisti hanno individuato gli indici di compromissione aggiornati, o IoC, attraverso i quali è possibile risalire alla nuova versione di MassLogger.
MassLogger e la sua diffusione in Italia nell’ultimo periodo
Come già accennato, il malware è arrivato in Italia solo di recente.
Inoltre, ha fatto la sua comparsa anche in Austria, Belgio, Repubblica Ceca, Danimarca, Francia, Gran Bretagna, Germania, Olanda, Spagna, USA.
Malware MassLogger: come avviene l’attacco
La principale e più pericolosa caratteristica di questo virus consiste nella velocità con cui si aggiorna.
Infatti, questo viene migliorato volta in volta attraverso l’aggiunta di nuove funzioni.
Ad oggi, è diventato capace di superare con facilità le misure di sicurezza adottate per smascherarlo, imparando a difendersi da queste.
Fino allo scorso giugno, l’attacco avveniva sotto forma di file eseguibile GuLoader criptato, ossia come downloader utilizzato per la distribuzione di malware e per scaricare payload crittografati presenti su piattaforme di file sharing legittime.
Il campione sottoposto ad analisi era contenuto in due packer .NET, tra di loro accomunati dalle tecniche utilizzate per occultare il proprio payload, così da rallentare l’analisi del codice malevolo.
Infatti, il primo packer possiede le risorse con il payload finale e il secondo packer esegue l’estrazione del payload e viene caricato nel primo per ottenere l’accesso a tutte le risorse di sistema già acquisite
tramite lo stesso.
Per debuggarlo, è necessario utilizzare il tool dnSpy di reverse engineering .NET.
MassLogger: cosa si rischia
Questo virus è un keylogger e stealer malware, pertanto punta ad estrarre i dati e a rubare informazioni.
I dati da attaccare sono scelti dai cyber criminali che se ne servono.
Infatti, si tratta di un programma dannoso che può essere acquistato, per cui alle sue spalle possono esserci tanti individui, anche non collegati tra loro e che perseguono scopi differenti.
Proprio per questo motivo, si tratta di un software pericoloso per il proprio dispositivo.
Data la sua struttura keylogger, il programma è capace di registrare i tasti premuti dall’utente, mettendo a rischio la sua privacy e la sicurezza delle proprie informazioni.
Tramite le funzioni di keylogging, infatti, si sottraggono le credenziali di accesso degli account, così da appropriarsi di numerose informazioni, per sonali o finanziarie, come ad esempio quelle relative al conto in banca o alla carta di credito.
Come stealer, MassLogger prende come bersaglio un vasto elenco di applicazioni per estrarre le credenziali di accesso e le informazioni sensibili memorizzate tramite queste. Soggetti ad attacchi sono:
1. browser, quindi Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Yandex, Vivaldi, Brave e Orbitum;
2. posta elettronica, come Foxmail, Outlook e Thunderbird;
3. messaggistica, quindi Telegram, Discord, Pidgin, QQ;
4. ClientVPN o NordVPN;
5. Client FTP – FileZilla.
Una volta ottenuto l’accesso agli account di comunicazione, come social network o indirizzo e-mail, i cyber criminali possono utilizzarli in modo improprio, per contattare i vostri amici e i vostri contatti, condividendo file infetti per diffondere il virus.
Inoltre, il virus può identificare la presenza di contenuti sensibili e compromettenti, così da utilizzarsi per ricattare gli utenti.
Insomma, perdite finanziarie, problemi di privacy e furto di informazioni e di identità sono le possibili conseguenze dannose derivanti da MassLogger.
MassLogger: come difendersi
Per prevenire un’infezione dovuta al malware MassLogger, bisogna prestare attenzione alle e-mail di phishing, in quanto sono il principale vettore di diffuzione. È importante non aprire mail sospette, soprattutto allegati e collegamenti presenti in esse, in quanto possono essere causa di infezione.
I download devono avvenire tramite fonti ufficiali e verificate e i prodotti scaricati devono essere attivati e aggiornati attraverso strumenti o funzioni forniti dagli sviluppatori, piuttosto che attraverso strumenti illegali, come il cracking, in quanto a rischio malware.
Inoltre, MassLogger potrebbe diffondersi anche tramite USB, per cui è importante installare un buon antivirus o un antispyware affidabili sul proprio PC e attivare il controllo sulle periferiche di archiviazione esterne.
In ambito aziendale, è necessario prevedere programmi di security awareness, che consentano ai dipendenti e agli utenti in contatto con l’organizzazione, quali clienti, fornitori e visitatori, di essere aggiornati sulle attuali minacce, così da difendersi in modo proattivo da attacchi alla sicurezza informatica.
Il nostro consiglio è quello di effettuare scansioni periodiche del sistema, così da individuare in tempo la presenza di un’eventuale minaccia.
