Skip to main content

Masslogger malware: Italia a rischio di attacchi

|

Masslogger Malware: secondo gli esperti di cybersecurity del CERT Agid, potrebbe essere ben presto usato in campagne su obiettivi nel nostro paese. Acquistabile a buon mercato, ne è stato ipotizzato l’utilizzo nel prossimo futuro anche nello scenario italiano.

DifesaeSicurezza.it scrive che gli esperti di cyber security hanno analizzato il codice malevolo, per capire il suo comportamento e le funzionalità. Masslogger potrebbe rappresentare un rischio per l’Italia.

L’Italia infine, secondo il Report di Trend Micro Research, è il quarto paese al mondo a trovarsi sotto assedio delle cyber minacce dopo USA, Giappone e Francia: malware e ransomware sono le minacce più frequenti. Anche se il malware rimane il tipo più comune di attacco informatico, è seguito da attacchi DDos e Defacement e da attacchi come Phishing, Social Engineering (Ingengneria Sociale) e SQLi. 

Malware e Cyber Crime

Cosa hanno scoperto gli esperti nella loro analisi? Il codice malevolo recupera informazioni dal computer (come memoria, IP o processi etc, cradenziali programmi) trafugando dati dalla vittima. Il campione analizzato, contenuto all’interno di due packer .NET: il primo ha le risorse contenenti il payload finale (e un assembly secondario per la decodifica dell’altro packer), il secondo che ne esegue l’estrazione e ciò potrebbe mettere in difficoltà l’analista che non se ne accorge.

L’analisi di CERT Agid informa che non si trovano attualmente in circolazione vere e proprie analisi di MassLogger: principalmente ci sono immagini di dump delle stringhe o delle connessioni. Inoltre si è scoperto che il gruppo che vende MassLogger possiede anche un account github NYANxCAT (o NYAN CAT).

Masslogger malware: le utlime analisi in rete

Tra le ultime analisi in rete relative a questo maware c’è quella di FR3D – Fred HK, ricercatore e sviluppatore della Malbeacon che nomina in modo divertente il masslogger una “creazione di Frankestein”.

Masslogger Analisi: MassLogger è scritto in .NET, che utilizza il codice gestito. Come qualsiasi malware, il creatore ha utilizzato packer e altri strumenti per cercare di offuscare il codice. Inoltre, per evitare che il codice fosse facilmente estratto è stata crittografata la configurazione e quindi decrittografarla durante il runtime.

Per ottenere alcune delle funzionalità di MassLogger, ha copiato e incollato il suo codice da GitHub e lo ha pubblicato insieme per creare MassLogger. Per questo motivo, il codice che ha condiviso pubblicamente, può essere utlizzato per avere un’idea di come sarebbero state le cose prima della compilazione.

Leggi l’analisi sul sito dello sviluppatore – MassLogger – Frankenstein’s Creation

Nota Esfiltrazione: MassLogger ottiene le informazioni rubate utlizzando 3 metodi: FTP, SMTP e HTTP. I primi due sono piuttosto semplici in cui le credenziali per il metodo scelto verranno archiviate nella configurazione e quindi utilizzate per inviare un’e-mail o caricare lo zip sul destinatario. HTTP è il metodo più interessante perché l’autore ha creato un pannello di controllo PHP per ricevere i log dal malware.

Andrea Biraghi cybersecurity