Alcuni utenti hanno segnalato la diffusione di un trojan nella famosa piattaforma di distribuzione digitale Steam: sono stati segnalati diversi account, evidentemente compromessi, dai quali vengono aperte sessioni di chat volte a convincere le potenziali vittime a fare clic su link esterni alla piattaforma. Secondo le segnalazioni, dagli account violati vengono inviati ( a insaputa dell’utente) una serie di messaggi di SPAM come quello visibile nella foto sotto: in questi messaggi si cerca di convincere la vittima a navigare sul sito videomeo.pw e guardare un video.
Quando la vittima apre la pagina, si apre una schermata che avvisa della necessità dell’aggiornamento dei plugin di Flash Player per poter visualizzare il video.
Se la vittima scarica ed esegue il fantomatico aggiornamento, l’unico risultato che ottiene non è quello di far avviare il video, ma di scaricare un falso installer di Flash Player che altro non è che un trojan che esegue uno script PowerShell, chiamato “zaga.ps1” che a sua volta scarica un archivio zip e uno script CMD dal server zahr.pw.
Una volta che i file sono stati scaricati, lo script PowerShell lancia quindi il file CMD, che estrae automaticamente sharchivedmngr nella cartella %AppData%\lappclimtfldr e configura Windows affinchè esegua automaticamente il programma mcrtvclient.exe quando l’utente esegue il login nel sistema. Questo programma altro non è che una copia rinominata di un software di gestione da remoto (nel dettaglio NetSupport Manage Remote Control Software). Quando il programma è avviato, si connette al gateway di NetSupport (indirizzo levy.pw:11678) e attende istruzioni. Questo consente all’attaccante di connettersi da remoto al computer infetto e assumerne il controllo.
Per risolvere, controllare nella cartella %AppData% la cartella specifica e rimuoverla. Ovviamente consigliamo di non aprire assolutamente nessun link proveniente da user sconosciuti.
Nessun commento:
Posta un commento