Malware: tecniche di infezione poco comuni

Malware: tecniche di infezione poco comuni

Gli esperti di Kaspersky hanno descritto quattro metodi di infezione poco comuni, tra cui quello utilizzato per distribuire il ransomware Black Basta.
Gli esperti di Kaspersky hanno descritto quattro metodi di infezione poco comuni, tra cui quello utilizzato per distribuire il ransomware Black Basta.

Il phishing (o spear phishing) è la tecnica più utilizzata dai cybercriminali per “entrare” nei computer e nelle reti aziendali. In alcuni casi vengono sfruttate le vulnerabilità RCE che permettono l’esecuzione di codice remoto. Gli esperti di Kaspersky hanno identificato e descritto quattro metodi di infezione poco diffusi, ma altrettanto efficaci.

Metodi di infezione poco comuni

Un nuovo metodo di propagazione dell’infezione è stato utilizzato dal gruppo Black Basta. I ricercatori di Kaspersky hanno trovato nel codice aggiornato del ransomware un comando con il parametro “-bomb” che permette di effettuare la connessione ad Active Directory usando la libreria LDAP. Viene quindi ottenuto l’elenco dei computer in rete, sui quali viene istallato ed eseguito il malware. Questo metodo è più efficace perché lascia meno tracce nel sistema, quindi è meno rilevabile dalle soluzioni di sicurezza.

Il malware CLoader viene invece nascosto negli installer NSIS di software e giochi pirata distribuiti tramite torrent. CLoader può installare sul computer vari payload, tra cui downloader, proxy e backdoor.

Un altro metodo ingegnoso è stato sfruttato per distribuire OnionPoison. Su alcuni canali YouTube in lingua cinese viene spiegato come installare il browser Tor (bloccato in Cina). Il link nella descrizione punta però ad una versione infetta che include la backdoor.

L’ultimo “trucco” è stato utilizzato per distribuire AdvancedIPSpyware. I cybercriminali usano un certificato rubato per firmare la versione fasulla del tool Advanced IP Scanner. Come si deduce dal nome, il malware viene sfruttato per le campagne di cyberspionaggio.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Kaspersky
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 6 ott 2022
Link copiato negli appunti