Nelle scorse ore sono state segnalate diverse emergenze informatiche in merito ad attacchi alla sicurezza degli utenti, dai quali ci si può difendere evitando di cliccare sui link contenuti nei messaggini, tenendo sempre un antivirus aggiornato sui propri device, ed evitando di scaricare programmi craccati o app da store che non siano quelli ufficiali.
La prima minaccia di questo breve recap riguarda il malware ERMAC 2.0 che, con punti in comune rispetto a Cerberus, viene attualmente affittato nel dark web al prezzo di 5.000 dollari al mese. La campagna virale che lo vede protagonista, segnalata da Eset e Bleeping Computer, ha notato la presenza di questo virus all’interno di 467 applicazioni distribuite esternamente al Play Store, tra cui Bolt Food, un’app di food delivery legittima che, distribuita però su un sito del tutto simile all’originale (pubblicizzato con post sui social media, e-mail di phishing, malvertising, etc), è stata addizionata con la succitata minaccia.
Una volta installata la stessa, il virus entra in azione chiedendo l’autorizzazione ai servizi di accessibilità e, da quel momento, può leggere e scrivere sulla memoria del dispositivo, consultare la rubrica, registrare audio, leggere e inviare messaggi ma, soprattutto, sovrapporre in overlay dei form alle app o ai siti legittimi, in modo da intercettare le credenziali per gli home banking, i servizi di gestione patrimoniale, e per importanti crypto wallet. I dati, una volta carpiti, vengono poi inviati a un server remoto di comando e controllo.
Un’altra temibile minaccia in diffusione nel corso di questo mese, sebbene pare sia in azione almeno da Febbraio, è stata segnalata da Red Canary, e riguarda il malware ChromeLoader, che conduce attacchi di tipo hijacking ai danni dei browser su PC e Mac. Nello specifico, attraverso campagne pubblicitarie su Twitter si indirizzano gli utenti a siti contenenti liste di torrent o su siti compromessi, con la prospettiva di poter scaricare crack o key generator per giochi o software commerciali. Il file che si scarica, nel caso di Windows, è un archivio ISO, eseguendo il quale come driver virtuale, viene decodificata la richiesta – via Powershell – di scaricare un archivio remoto installato localmente come estensione per Chrome, con la conseguenza che l’utente viene reindirizzato su falsi siti di dating, di concorsi a premio o di sondaggi, di giochi per adulti, dai quali i criminali guadagnano mediante affiliazione. Su macOS, invece, il file archivio ha il formato DMG e, via o script bash, scarica e scompatta in una cartella temporanea l’estensione che andrà a modificare il comportamento di Safari.
La divisione HP Wolf Security, creata in piena pandemia da Hewlett Packard per proteggere lo smart working, ha segnalato invece la minaccia riguardante l’info stealer Snake Keylogger: quest’ultimo viene diffuso tramite allegati di posta elettronica in formato PDF che simulano ricevute di pagamento. Aprendo il file, il reader di default del computer (es. Acrobat Reader) chiede di aprire un dile docx il cui nome contiene la dicitura “has been verified” (è stato verificato): di conseguenza l’utente disattiva la visualizzazione protetta cullato da un falso senso di sicurezza, con la conseguenza che una macro porta a mandare in esecuzione un file RTF scaricato che, grazie alla vulnerabilità CVE-2017-11882 del Microsoft Equation Editor, via shellcode, manda in azione il file, scaricato, fresh.exe, ovvero proprio il malware Snake Keylogger, incaricato di carpire informazioni come i dati di login delle reti Wi–fi, quelli depositati nei browser, o dei client email.
Dalla security house romena Bitdefender arriva la segnalazione di una nuova campagna di diffusione per il virus Flubot. In questo caso, il virus si diffonde per SMS con link che invitano al click per ascoltare un messaggio audio: il click porta alla richiesta di installare una presunta app Android di gestione dei messaggi vocali che, oltre a richiedere i servizi di accessibilità per prendere il pieno controllo del dispositivo, richiede anche l’accesso alla rubrica (che l’utente concede, ritenendolo normale per un’app di messaggistica). In realtà, concessi i permessi, entra in azione il malware che, diffusosi per SMS ai contatti della vittima, nel frattempo provvede a rubarne le info personali, quelle bancarie, e per la carta di credito. Su iOS, il virus agisce in modo diverso, portando l’utente su siti dove abbonarlo a servizi a pagamento o che tenteranno in altri modi di rubarne le credenziali.