Campagna malware, nel mirino utenti Telegram e AWS: di cosa si tratta?

Gli utenti di Telegram, AWS e Alibaba Cloud sono stati presi di mira da una nuova campagna malware che agisce nascondendo codice dannoso all’interno di specifiche funzioni dei software.

Questo è quanto sostenuto dalla società di sicurezza informatica Checkmarx, che afferma di aver scoperto la campagna, attribuita a un misterioso attore di minacce chiamato kohlersbtuh15, lo scorso settembre.

L’attaccante informatico in questione utilizza il repository del software di programmazione Python Pypi per le operazioni, lanciando attacchi utilizzando tattiche di typosquatting e starjacking.

Per Checkmarx “Invece della strategia comune di inserire codice dannoso all’interno dei file di installazione dei pacchetti Python, che si eseguirebbe automaticamente al momento dell’installazione del pacchetto, questo utente malintenzionato ha incorporato script dannosi nel profondo del pacchetto, all’interno di funzioni specifiche“.

Gli stessi esperti hanno poi chiarito come “Ciò significava che il codice dannoso veniva eseguito solo quando veniva richiamata una funzione specifica durante l’utilizzo regolare“.

Questo modus operandi viene definito come “Approccio unico per nascondere il codice dannoso” che non solo aiuta a nascondere lo stesso “Ma prende di mira anche operazioni o funzionalità specifiche, rendendo l’attacco più efficace e difficile da rilevare“.

Codice malware nascosto: come agiscono i cybercriminali per imbrogliarti

Checkmarx ha aggiunto come “Inoltre, poiché molti strumenti di sicurezza eseguono la scansione di script dannosi eseguibili automaticamente, incorporare il codice all’interno delle funzioni aumenta la probabilità di eludere tali misure di sicurezza“.

Un’altra tattica utilizzata dall’aggressore è quella di far apparire popolari i pacchetti malevoli su Pypi, una sorta di “trucco psicologico” volto a incoraggiare la vittima a cliccarci sopra, attirata da un falso senso di fiducia.

“Starjacking e typosquatting sono metodi popolari utilizzati dagli aggressori per aumentare le possibilità che i loro attacchi abbiano successo e infettare il maggior numero possibile di obiettivi“, ha affermato Checkmarx. “Queste tecniche mirano a migliorare la credibilità del pacchetto facendolo apparire popolare ed enfatizzando il numero di altri sviluppatori che lo utilizzano” affermano gli esperti.

In caso di infezione, a prescindere dal servizio/app coinvolta, i rischi sono elevati.

“Nella migliore delle ipotesi, potresti finire per infettare gli account sviluppatore con privilegi elevati all’interno della tua rete” affermano i professionisti di Checkmarx, aggiungendo come “Se sei meno fortunato, potresti finire per infettare i tuoi clienti con versioni software compromesse“.