Sempre attivi in ogni fase dell’anno, anche in quest’inizio di 2022 gli hacker non sono restati con le mani in mano visto che, secondo gli esperti della sicurezza digitale, si sono impegnati nel diffondere due pericolosi virus, tra cui il redivivo Zloader e il nuovo SysJoker.
Nel caso della prima infezione digitale, Zloader, si tratta di un bankware avvistato per la prima volta nel 2015 e, poi, anche nel Novembre scorso quando, per diffonderlo, erano stati usati metodi quali il malvertising (pubblicità dannosa su Google), l’invio di documenti pericolosi via mail e delle esche sui siti per gli adulti. Ora, proprio tale malware, aggiornato a quanto pare a cadenza settimanale, è tornato a farsi vivo, mietendo oltre 2.000 vittime in 111 paesi, tra cui India, Canada e USA.
In questo caso, Zloader si fa passare come un’installazione Java, di cui si caldeggia l’installazione in mail di spear-phishing, od offrendo i crack per software piratati: grazie a tale eseguibile “.msi” si procede, tramite varie librerie – una delle quali con firma digitale autentica di Microsoft (per aggirare i controlli di Windows Defender), a scaricare il payload maligno, appunto Zloader, avviando una connessione verso un server di controllo e comando remoto, con annesso ripristino del malware a ogni riavvio del sistema, con la conseguenza che l’hacker può prendere il totale controllo del computer della vittima, per rubarne le info finanziarie, le password, ed esfiltrare vari documenti e foto sensibili, poi rivenduti nel dark web quando non usati per ricatti vari o assunzioni di identità fittizie.
Secondo gli esperti di Check Point Software Technologies, che hanno attribuito la minaccia in questione al tristemente noto gruppo hacker MalSmoke, l’unico modo per cautelarsi da Zloader è quello di installare l’aggiornamento “di Microsoft per una rigorosa verifica di Authenticode“, in modo che il sistema sia in grado di appurare che il codice del programma che si va a installare provenga effettivamente dal legittimo sviluppatore.
Un’altra minaccia appena rendicontata, questa volta dalla security house Intezer, riguarda il malware SysJoker, in circolazione dalla seconda metà del 2021 ed attualmente tornato alla ribalta. Nel caso specifico si tratta di un virus scritto in C++ con versioni alternative che entrano in azione a seconda che colpiscano Windows, Linux o macOS. Quel che viene realizzato, a infezione avvenuta, è in ogni caso il tenere aperta una backdoor in modo che l’hacker possa scaricare altri programmi dannosi, ottenere delle informazioni, o aprire altre porte all’infezione.
Secondo gli esperti, che raccomandano di non cliccare su link o allegati sospetti, ma anche di tenere sotto controllo processi irregolari o sconosciuti, di avvalersi di antivirus per eliminare i “processi relativi a SysJoker e tutti i file ad esso legati“, e di appurare da dove sia entrato il virus (es. se da software o da server), il virus SysJoker tenderebbe a collocare nel sistema delle chiavi di registro che ne garantiscano la persistenza, agirebbe in base a 4 domini registrati per puntare al server di controllo e comando remoto e, su Windows, nel farsi passare per l’interfaccia dei servizi Intel con annessa creazione di una cartella ad hoc (per stoccarvi le info sul dispositivo da condividere col server C2), non agirebbe nei primi 10 minuti dell’infezione, per non destare sospetti: oltretutto, sarebbe anche molto difficile da rilevare dalla maggior parte degli antivirus in circolazione, potrebbe far perdere le sue tracce auto cancellandosi e, nel condurre attacchi verso macchine specifiche, magari in grosse organizzazioni, assegnerebbe a ciascuna macchina infetta dei token univoci.