Continuano le minacce informatiche alla sicurezza degli utenti di dispositivi, servizi ed applicazioni, con gli ultimi giorni che hanno visto protagonisti due nuovi attacchi condotti ai danni dei terminati più diffusi, ovvero dei computer Windows e, lato mobile, dei dispositivi Android based.
La prima minaccia informatica di quest’avvio di middle-week è stata rendicontata dal portale di informazione securtiva CyberSecurity360, secondo cui il malware NjRat (noto anche come Bladabindi o Njw0rm), diffuso in vari modi (anche con falsi aggiornamenti software, tramite il download di programmi da canali non ufficiali, o mediante cracking pirata), in questo periodo sta colpendo attraverso la posta elettronica degli utenti Windows, nell’ambito di campagne di malspam.
Nello specifico, arrivano mail con vari pretesti, anche di verificare le credenziali bancarie, offrendo allo scopo allegati pericolosi, sostanziati in archivi compressi RAR, PDF, documenti Office, o file JavaScript. Aprendo uno di questi attachments, l’utente attiva un file .Bat che, sfruttando strumenti legittimi di Windows (i comandi conhost.exe e schtasks.exe e il Powershell), scarica – nella cartella TEMP dell’utente – la versione 2.0 del pericoloso payload NjRat, un trojan ad accesso remoto redatto in linguaggio .NET che, inserita una chiave nel registro del sistema operativo per consentirne l’avvio automatico, comunica con un server di controllo e comando a distanza, magari per scaricare altro software dannoso, esfiltrare i dati dell’utente e le credenziali bancarie, raccogliere dati sui sistemi infettati.
Ad oggi, come cautela contro questa tipologia di attacchi, gli esperti consigliano di aggiornare software e sistemi operativi dai canali ufficiali, settando password complesse e avvalendosi dell’autenticazione bifattoriale, di fare attenzione agli allegati provenienti da mittenti sospetti o sconosciuto, specie se chiedono di attivare le macro e, come extrema ratio, di effettuare regolarmente il backup dei dati.
Dal portale Bleeping Computer, invece, arriva la notizia in base alla quale la security house Cleafy ha notato la ricomparsa del pericoloso bankware BRATA che, in grado di eseguire versioni specifiche adatte agli utenti di Italia, Spagna, UK, Polonia, America Latina e Cina, si è ulteriormente evoluto rispetto al passato. Nello specifico, se la versione BRATA.C usa un programma per scaricare il payload maligno vero e proprio e BRATA.B ha più codice offuscato, la variante BRATA.A ha guadagnato, come kill-switch strategy, la capacità di formattare lo smartphone Android colpito, riportandolo alle impostazioni di fabbrica, per non lasciare tracce di sé dopo aver rubato con successo le credenziali bancarie, o nel caso si renda conto d’essere stato eseguito in un ambiente virtuale.
Visto che BRATA si avvale del servizio di accessibilità per vedere quel che c’è a schermo, registrare i tasti premuti ed eseguire screenshot, gli esperti in questo caso consigliano di prestare attenzione a quelle app a cui si concedano i diritti amministrativi o l’uso del succitato servizio di accessibilità.