La minaccia del trojan Masslogger: cosa c’è da sapere
17 Marzo 2021I pericoli per la sicurezza dei dati informatici non finiscono mai: periodicamente si presentano nuove minacce e aumentano i rischi tanto per i privati quanto per le aziende, a causa di virus e malware sempre più complessi e capaci di sfuggire alle misure di protezione più comuni.
In questo caso parliamo del Masslogger, un trojan che in realtà esiste dal 2020, ma che si è diffuso con una variante più pericolosa proprio in Italia, all’inizio del 2021.
Cos’è il Masslogger?
Si tratta di un keylogger (cioè un programma è in grado di intercettare e catturare tutto ciò che viene digitato sulla tastiera senza che l’utente se ne accorga) con codice malevolo scritto in .NET, con delle funzioni di infostealer e spyware.
L’obiettivo del Masslogger è di rubare le credenziali di accesso ai dispositivi delle vittime, per poi effettuare successivamente un furto di dati sensibili.
Grazie alle funzioni di keylogging è possibile accedere a numerose informazioni, personali o finanziarie, come ad esempio quelle relative al conto in banca o alla carta di credito.
Come stealer, MassLogger attacca un ampio elenco di applicazioni per estrarre le credenziali di accesso e le informazioni sensibili memorizzate tramite queste.
Questo è un esempio dei programmi e delle app soggetti ad attacco:
- browser: Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Yandex,
- posta elettronica: Outlook e Thunderbird;
- messaggistica: Telegram, Discord, Pidgin;
- ClientVPN o NordVPN;
- Client FTP – FileZilla.
Questo è solo un esempio, negli ultimi mesi si sono verificati attacchi sia a privati che a mail appartenenti alla Pubblica Amministrazione.
Gli analisti hanno individuato gli indici di compromissione aggiornati (IoC), tramite i quali è possibile risalire alla nuova versione di MassLogger, quella diffusa nelle ultime settimane.
Come funziona Masslogger
L’attacco avviene in più fasi, cominciando con l’invio di un’email di phishing per arrivare al payload finale cercando in ogni fase di eludere il rilevamento.
Il messaggio iniziale destinato alle caselle di posta elettronica include un file compresso con estensione “r00” al cui interno sono contenuti file CHM con il codice JavaScript scritto in modo da avviare l’infezione: di fatto un downloader il cui compito è quello di scaricare e installare il loader malevolo.
Le informazioni rubate vengono poi trasmesse via protocolli FTP, HTTP o SMTP.
È proprio grazie alla compressione dei file che avviene un tentativo di bypassare i controlli di sicurezza, tra l’altro i file CHM hanno lo stesso formato dei file HTML utilizzati per la Guida di Windows.
Di solito, il server di download è in genere un host legittimo compromesso da cui viene scaricato il codice. Con un semplice schema di decodifica esadecimale si ottiene la stringa contenente il codice del loader PowerShell. Questo contiene due assembly .NET, anch’essi codificati.
Come si può vedere nell’immagine, il primo è una DLL e l’altro un eseguibile. Il payload decodifica prima la DLL .NET, quindi deobfusca la stringa “System.AppDomain” per ottenere il riferimento al relativo metodo “GetCurrentDomain”. Il payload crea quindi una matrice di byte in cui memorizza il payload Masslogger, prima di richiamare la funzione GetCurrentDomain per ottenere il processo in cui lo script è in esecuzione.
Il dominio acquisito viene quindi utilizzato per caricare l’assembly DLL .NET nel processo powershell.exe con il nome dell’assembly “Waves.dll”. Waves utilizza un payload Costura offuscato con DotNetGuard per ostacolare l’analisi e il rilevamento.
Una volta caricata la DLL come assembly .NET, il payload PowerShell crea un processo msbuild.exe, avviando così il payload finale. Infine, il payload Masslogger viene memorizzato in memoria come buffer compresso con gzip. Il buffer viene decompresso e inizia la sua azione.
In alcuni casi, l’obiettivo dei cybercriminali è quello di sottrarre i dati per poi rivenderli oppure per utilizzarli per nuovi attacchi.
Come è possibile difendersi da Masslogger
Ancora una volta, il principale veicolo di infezione sono le email di phishing, per cui non bisogna aprire email sospette e soprattutto i file allegati. È possibile diffondere il keylogger anche tramite pendrive Usb, perciò è importante controllare anche le periferiche di archiviazione esterne con un buon antivirus.
In ambito aziendale, è opportuno prevedere programmi di security awareness, per permettere ai dipendenti e agli utenti in contatto con l’azienda, come clienti, fornitori e visitatori, di essere a conoscenza delle possibili minacce informatiche e di difendersi dagli attacchi.
Ad ogni modo, in caso di attacco con keylogger, è importante non farsi prendere dal panico e rivolgersi subito agli specialisti in recupero dati, per limitare danni più gravi e mettere in sicurezza tutti i dati personali.
Richiedi Informazioni
il form