Sono in diffusione tre malware diversi: GratefulPOS, Emotet e Zeus Panda. Sono ben 3 diverse campagne di diffusione, chiaramente pensate per approfittare del periodo dello shopping natalizio. Se GratefulPOS sembra essere un nuovo tipo di malware, gli altri due, Emotet e Zeus Panda, sono invece vecchie conoscenze: le versioni in diffusione hanno solo subito piccole modifiche.
GratefulPOS
E' un malware che colpisce i sistemi POS (Point of Sale): le prime analisi del suo codice sembrano confermare che si tratta di un malware composto dal codice di svariate famiglie di altri malware, sopratutto FrameworkPOS, TRINITY, BlackPOS e BrickPOS.
Individuato per la prima volta a metà Novembre, questo malware è pensato per essere eseguito su reti
POS con sistemi a 64-bit di Windows 7 e successivi. L'installazione sembra dover essere manuale. Andando più a fondo il malware sembra basarsi principalmente su FrameworkPOS, il che significa che ne condivide gran parte delle funzioni come la capacità di rubare dalla RAM i dati della carta di credito e di inviare le informazioni raccolte al proprio server C&C tramite richieste DNS criptate e altamente offuscate.
Zeus Panda
Il secondo malware che ha fatto registrare un forte incremento della propria attività è Zeus Panda. Secondo il report di ProofPoint però l'operatore dietro Zeus Panda ha modificato il proprio modus operandi.
"Abbiamo osservato che la campagna di diffusione del trojan bancario Zeus Panda si concentra sempre più su obiettivi non bancari, con una lunga serie di codici da iniettare nei browser chiaramente pensati per capitalizzare le attività di shopping natalizie" afferma lo staff di ProofPoint.
"In particolare questa campagna di diffusione di Zeus Panda ha esteso la propria azione di injection code ad una grande varietà di siti per lo shopping online, sopratutto siti per i viaggi, siti per lo streaming online e i grandi rivenditori specializzati online".
L'unica modifica rilevante di questo malware è appunto l'ampliamento dei target, per il resto Zeus Panda è rimasto il trojan che già conoscevamo prima: infetta i dispositivi degli utenti quindi inietta codice dannoso nella pagine web contenute nella sua lista dei target per rubare le credenziali di login.
Emotet
I ricercatori di Bromium invece hanno individuato una interessante variante di Emotet, rilasciata giusto in tempo per approfittare del periodo delle festività. Parrebbe, stando alle parole dei ricercatori stessi, che questa versione sia in grado di passare inosservata al 75% degli antivirus: tutto "merito" della sua natura polimorfica e del continuo reimpacchettamento del codice dannoso. I ricercatori di Bromium affermano che ciò è possibile perchè Emotet viene aggiornato molto più velocemente di quanto i software antivirus stiano aggiornando le proprie capacità di individuazione.
I malware polimorfici non sono una novità: è invece a prima volta, per quanto se ne sa, che Emotet usa questa tecnica.
Nessun commento:
Posta un commento