Iscriviti

Malware controlla il PC ed elude l’antivirus caricandosi in memoria

Una security house ha scoperto, da poco, un virus che - propagatosi tramite allegato word compromesso - prende il controllo del PC in pochi minuti, caricandosi in memoria al fine di eludere tutti i principali antivirus attualmente in commercio.

Internet e Social
Pubblicato il 16 giugno 2017, alle ore 20:11

Mi piace
11
0
Malware controlla il PC ed elude l’antivirus caricandosi in memoria
Pubblicità

Ultimamente, stiamo assistendo a diversi attacchi che dimostrano quanto le tecniche di aggressione degli hacker si siano affinate. Dopo il malware, nascosto in PowerPoint, che si attivava senza la necessità che l’utente cliccasse sul link malevolo, alcuni ricercatori ne hanno segnalato un altro che, grazie a tecniche di occultamento assai complesse, permette di prendere il controllo di un PC in pochi minuti, con relativo furto di informazioni sensibili, di grande rilievo finanziario.

La rilevazione di questa minaccia, secondo i colleghi di TomShw, e Security Info, è avvenuta grazie alla security house israeliana Morphisec: quest’ultima ha scoperto che il gruppo hacker FIN7 ha inviato – a diversi ristoranti o, comunque, esercizi commerciali che gestiscono i pagamenti tramite carte di credito – una mail dall’apparente aspetto professionale (con oggetto “menu.rtf”, “Olive Garden.rtf”, o “Chick-fil-A Order.rtf”), nella quale si proponeva loro il noleggio di una sala per un pranzo d’affari, o l’acquisto di un servizio tipo catering. Per consultare i dettagli della proposta, veniva fornito un allegato Word che, però, conteneva un pericoloso oggetto OLE.

Quest’ultimo, all’apertura dell’allegato, eseguiva un codice javascript che, prima richiedeva di disabilitare la visualizzazione protetta (adottata dalle ultime versioni di Office verso i contenuti ricevuti in posta elettronica) e, poi, dopo un lasso di tempo necessario a non indurre sospetti, scriveva delle stringhe di PowerShell Code nella RAM, premunendosi di rimuovere – ove possibile – il prefisso “MZ” che avrebbe potuto essere rilevato dagli antivirus.

A questo punto, sfruttando dei tipici strumenti “Meterpreter”, simili ai programmi di assistenza remota che non richiedono di installare alcunché in locale per eseguire dei test di sicurezza, si prendeva il controllo del computer, comunicando all’esterno tutte le informazioni economiche scovate sia nel PC compromesso che, in linea laterale, in tutti i dispositivi ad esso connessi nella medesima rete locale

Per questo motivo, oltre a non disabilitare – quando richiesto – la protezione della “visualizzazione protetta” dai file ricevuti come allegato email, si raccomanda di aggiornare le proprie difese antivirus, adottando soluzione mirate per gli attacchi “fileless” che sfruttano librerie caricate in memoria. Infatti, conclude Morphisec, ad un’attenta analisi dell’allegato word infetto con i 56 antivirus tradizionali adoperati dallo scanner online VirusTotal, non uno di essi ha rilevat il pericolo di cui sopra. 

Altri video interessanti:
Cosa ne pensa l’autore

Fabrizio Ferrara - Caspita: sembra quasi la storia del doping e dei controlli antidoping. Più questi ultimi diventano efficienti, più i primi si evolvono al fine di evitarli, in un gioco a rincorrersi praticamente infinito. La stessa cosa sta avvenendo nell'informatica: gli attuali antivirus, sempre più completi, non riescono a rilevare gli ultimi attacchi virali, concepiti proprio su basi totalmente nuove: tanto nuove che è necessaria una nuova generazione di tool di sicurezza per smascherarli, e neutralizzarli.

Lascia un tuo commento
Commenti

Non ci sono ancora commenti su questo contenuto. Scrivi la tua opinione per primo!