Menù

La minaccia del trojan Masslogger: cosa c’è da sapere

17 Marzo 2021
La minaccia del trojan Masslogger: cosa c'è da sapere

I pericoli per la sicurezza dei dati informatici non finiscono mai: periodicamente si presentano nuove minacce e aumentano i rischi tanto per i privati quanto per le aziende, a causa di virus e malware sempre più complessi e capaci di sfuggire alle misure di protezione più comuni.

In questo caso parliamo del Masslogger, un trojan che in realtà esiste dal 2020, ma che si è diffuso con una variante più pericolosa proprio in Italia, all’inizio del 2021.

Cos’è il Masslogger?

Cos'è il Masslogger

Si tratta di un keylogger (cioè un programma è in grado di intercettare e catturare tutto ciò che viene digitato sulla tastiera senza che l’utente se ne accorga) con codice malevolo scritto in .NET, con delle funzioni di infostealer e spyware.

L’obiettivo del Masslogger è di rubare le credenziali di accesso ai dispositivi delle vittime, per poi effettuare successivamente un furto di dati sensibili.

Grazie alle funzioni di keylogging è possibile accedere a numerose informazioni, personali o finanziarie, come ad esempio quelle relative al conto in banca o alla carta di credito.

Come stealer, MassLogger attacca un ampio elenco di applicazioni per estrarre le credenziali di accesso e le informazioni sensibili memorizzate tramite queste.

Questo è un esempio dei programmi e delle app soggetti ad attacco:

  1. browser: Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Yandex,
  2. posta elettronica: Outlook e Thunderbird;
  3. messaggistica: Telegram, Discord, Pidgin;
  4. ClientVPN o NordVPN;
  5. Client FTP – FileZilla.

Questo è solo un esempio, negli ultimi mesi si sono verificati attacchi sia a privati che a mail appartenenti alla Pubblica Amministrazione.

Gli analisti hanno individuato gli indici di compromissione aggiornati (IoC), tramite i quali è possibile risalire alla nuova versione di MassLogger, quella diffusa nelle ultime settimane.

Come funziona Masslogger

Masslogger come difendersi

L’attacco avviene in più fasi, cominciando con l’invio di un’email di phishing per arrivare al payload finale cercando in ogni fase di eludere il rilevamento.

Il messaggio iniziale destinato alle caselle di posta elettronica include un file compresso con estensione “r00” al cui interno sono contenuti file CHM con il codice JavaScript scritto in modo da avviare l’infezione: di fatto un downloader il cui compito è quello di scaricare e installare il loader malevolo.

Le informazioni rubate vengono poi trasmesse via protocolli FTP, HTTP o SMTP.

È proprio grazie alla compressione dei file che avviene un tentativo di bypassare i controlli di sicurezza, tra l’altro i file CHM hanno lo stesso formato dei file HTML utilizzati per la Guida di Windows.

Di solito, il server di download è in genere un host legittimo compromesso da cui viene scaricato il codice. Con un semplice schema di decodifica esadecimale si ottiene la stringa contenente il codice del loader PowerShell. Questo contiene due assembly .NET, anch’essi codificati.

Masslogger come sottrae i dati

 

Come si può vedere nell’immagine, il primo è una DLL e l’altro un eseguibile. Il payload decodifica prima la DLL .NET, quindi deobfusca la stringa “System.AppDomain” per ottenere il riferimento al relativo metodo “GetCurrentDomain”. Il payload crea quindi una matrice di byte in cui memorizza il payload Masslogger, prima di richiamare la funzione GetCurrentDomain per ottenere il processo in cui lo script è in esecuzione.

Il dominio acquisito viene quindi utilizzato per caricare l’assembly DLL .NET nel processo powershell.exe con il nome dell’assembly “Waves.dll”. Waves utilizza un payload Costura offuscato con DotNetGuard per ostacolare l’analisi e il rilevamento.

Una volta caricata la DLL come assembly .NET, il payload PowerShell crea un processo msbuild.exe, avviando così il payload finale. Infine, il payload Masslogger viene memorizzato in memoria come buffer compresso con gzip. Il buffer viene decompresso e inizia la sua azione.

In alcuni casi, l’obiettivo dei cybercriminali è quello di sottrarre i dati per poi rivenderli oppure per utilizzarli per nuovi attacchi.

Come è possibile difendersi da Masslogger

Ancora una volta, il principale veicolo di infezione sono le email di phishing, per cui non bisogna aprire email sospette e soprattutto i file allegati. È possibile diffondere il keylogger anche tramite pendrive Usb, perciò è importante controllare anche le periferiche di archiviazione esterne con un buon antivirus.

In ambito aziendale, è opportuno prevedere programmi di security awareness, per permettere ai dipendenti e agli utenti in contatto con l’azienda, come clienti, fornitori e visitatori, di essere a conoscenza delle possibili minacce informatiche e di difendersi dagli attacchi.

Ad ogni modo, in caso di attacco con keylogger, è importante non farsi prendere dal panico e rivolgersi subito agli specialisti in recupero dati, per limitare danni più gravi e mettere in sicurezza tutti i dati personali.

La minaccia del trojan Masslogger: cosa c’è da sapere ultima modifica: 2021-03-17T12:09:48+01:00 da Recovery Admin

Richiedi Informazioni

Per ricevere informazioni aggiuntive, chiamaci subito oppure compila il form!
Compila
il form

Richiesta Informazioni

Iscrivimi alla newsletter di Recovery Data

Dichiaro di aver preso visione dell'informativa Privacy ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 e di rilasciare il consenso al trattamento dei dati personali per le finalità ivi indicate

Invio in corso...
Si è verificato un errore di convalida. Controlla i campi obbligatori ed invia nuovamente il messaggio.
Il tuo messaggio è stato inviato con successo. Grazie.

Tags


Perchè
scegliere noi

Prezzi
competititvi
Recupero
dati da
TUTTI
i dispositivi
PAGHI
SOLO
i dati che
recuperiamo
MASSIMA
riservatezza
dei vostri dati