L'alert è stato diramato direttamente dal CERT-AgID per mettere gli utenti italiani in guardia rispetto ad una minaccia che, nel prossimo futuro, potrebbe prendere di mira l'Italia. L'alert è un dettagliato report del malware MassLogger, che ha funzionalità di furto dati e keylogging scoperto poco tempo fa da alcuni ricercatori di sicurezza: un malware nuovo, ancora non diffuso, ma già circolante nei forum dell'underground hacking e pronto a colpire.
E' un malware scritto in .NET ed ha un funzionamento che pare prendere direttamente spunto da un altro ben noto malware, diffuso giusto qualche giorno fa in Italia, ovvero AgenTesla. Nei vari canali dove viene presentato e messo in vendita non si trova l'intero codice, ma solo immagini e porzioni del codice stesso: questi però sono sufficienti a farsi un'idea del tipo di minaccia.
E' un malware in vendita a buon mercato, con 45 dollari è possibile acquistare una licenza a vita ed è facile aspettarsi, data l'efficacia che può avere e la facilità di reperibilità, una diffusione di massa anche contro utenti italiani. Questo è il motivo per il quale il CERT ha deciso di dedicargli tanta attenzione e monitorare evoluzioni e eventuali diffusioni.
Il Payload
Una delle poche cose che già si sanno sul malware è che è contenuto all'interno di due packer che utilizzano tecniche di occultamento dei payload piuttosto comuni: il primo packer contiene le risorse del payload finale, il secondo ne esegue l'estrazione.
In generale MassLogger presenta alcuni accorgimenti anti debugging, per impedire lo studio del codice. Ha anche strumenti anti virtual machine e anti sandbox, così da poter rilevare se si trovi o meno in VM o sandbox: tutti strumenti per difendere il codice dai ricercatori di sicurezza che dovessero provare a "intrappolarlo". Ha anche un flag anti honeypot, ma questo non viene utilizzato.
Funzionalità
Per quel che è possibile ricostruire per adesso, questo malware recupera una serie di informazioni generiche dal computer, come i processi in esecuzione, le informazioni della scheda grafica, il nome del sistema operativo, l'IP, lo stato della memoria, la presenza di eventuali prodotti Antivirus e soluzioni di sicurezza. Mira comunque alle credenziali di una lunghissima serie di applicazioni, tra le quali browser, client email, VPN, app di messaggistica ecc... sotto un breve elenco di quelle più popolari:
- FileZilla
- Discord, Telegram Desktop
- NordVPN
- Thunderbird, Outlook, FoxMail
- Chromium, Chrome, Opera, Brave Browser, Iridium Browser, Edge, Edge Chromium, Epic Privacy Browser
Ha anche funzionalità di keylogging e clipboard grabbing (raccoglie le informazioni salvate in memoria per effettuare il copia e incolla), può scaricare altri file ed eseguirli tramite script VBS. Come autodifesa ha la capacità di aggiungersi come eccezione a Windows Defender ed è in grado di modificare il registro di sistema per garantirsi la persistenza al riavvio.
E' in grado di infettare dispositivi USB, copiando se stesso: da quel momento la chiavetta USB è infetta e può diffondere il malware nelle macchine sulle quali viene utilizzata.
Nessun commento:
Posta un commento