Italia, Turchia e Lettonia sono i paesi più colpiti da Masslogger, una tipologia di attacco che adotta un approccio a pù livelli.
I punti salienti:
• È sempre più difficile per i criminali informatici portare a termine un attacco a causa delle tecniche di protezione sempre più efficaci
• L’attacco rilevato da Cisco Talos utilizza una variante del trojan Masslogger progettato per rubare le credenziali dell'utente da più fonti come Microsoft Outlook, Google Chrome e instant messenger.
• A parte l'allegato e-mail iniziale, tutte le fasi dell’attacco sono di tipo ‘fileless’ e si verificano esclusivamente in memoria.
• Questa tipologia di attacco utilizza diverse tecniche elencate nel MITRE ATT&CK framework .
Milano, 3 marzo 2021 – I criminali informatici sono alla costante ricerca di nuovi metodi ch permettano di monetizzare i loro attacchi. Cisco Talos ha recentemente scoperto una variante del trojan denominato Masslogger che mira a colpire i sistemi Windows degli utenti in diversi paesi tra cui Italia, Turchia e Lettonia. In settembre, ottobre e novembre 2020, tipologie di attacco simili sono state rilevate anche in Bulgaria, Lituania, Ungheria, Estonia, Romania e Spagna.
La nuova versione del trojan Masslogger utilizza un approccio a più livelli, dall’email di phishing iniziale fino al payload finale, in questo modo i criminali informatici cercano di eludere il rilevamento. L’attacco inizia con un messaggio contenente un oggetto che sembra riferirsi a un'azienda. L'e-mail contiene un allegato RAR, che si espande successivamente in file con estensione del nome del file diversa (CHM). In questo modo l’e-mail elude i controlli di sicurezza che monitorano proprio l’estensione del file. Il file CHM è un file che contiene del codice JavaScript che serve proprio per avviare il processo di infezione: lo script in realtà è un downloader che installa il loader malevolo.
Nonostante la maggior parte dell'attenzione delle aziende sembra essere rivolta ad attacchi di tipo ransomware, è importante tenere a mente che gli i criminali informatici sono molto attivi e possono infliggere danni significativi rubando le credenziali degli utenti: questi dati hanno un valore enorme per i criminali, non solo perché possono essere venduti, ma anche perché possono essere usati per nuovi attacchi.
Per maggiori informazioni: https://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html
# # #
Cisco
Cisco (NASDAQ: CSCO) è il leader tecnologico mondiale che dal 1984 è il motore di Internet. Con le nostre persone, i nostri prodotti e i nostri partner consentiamo alla società di connettersi in modo sicuro e cogliere già oggi le opportunità digitali del domani. Scopri di più su https://news-blogs.cisco.com/emear/it/ e seguici su Twitter @CiscoItalia. Digitaliani: l’impegno Cisco per la Digitalizzazione del Paese
Ufficio Stampa Cisco
Prima Pagina Comunicazione
Marianna Ferrigno Marzia Acerbi / Francesco Petruzzi
email: pressit@external.cisco.com 02 91 33 98 11
