Una recente indagine di Kaspersky ha portato a galla una campagna multi-malware in fase di svolgimento. Stando agli esperti, a tal proposito sono stati registrati oltre 10.000 attacchi in tutto il mondo.
Perché questa campagna viene definita come “multi-malware“? In questo preciso contesto, i cybercriminali utilizzano in un singolo attacco backdoor, keylogger e miner, attraverso un preventivo sistema che disattiva i sistemi di sicurezza delle vittime.
Le prime avvisaglie di un’operazione di questo tipo sono state individuate lo scorso mese di aprile dall’FBI. La più recente ricerca di Kaspersky, però, ha messo a nudo l’intera campagna, con una realtà molto più preoccupante del previsto.
I casi esaminati dall’azienda specializzata in antivirus riguardano il periodo tra maggio e ottobre di quest’anno. In questo frangente, il multi-malware ha preso di mira prevalentemente agenzie governative, aziende agricole e società di vendita all’ingrosso e al dettaglio.
Le vittime, a quanto pare, provengono da paesi sparsi un po’ in tutto il mondo. La maggior parte di casi sono stati segnalati in Russia, Arabia Saudita, Vietnam, Brasile e Romania, anche se non mancano segnalazioni negli Stati Uniti, in Marocco e in Grecia.
Muli-malware: una sola campagna agisce attraverso backdoor, keylogger e miner
L’attacco avviene attraverso script dannosi, capaci di infiltrarsi nei sistemi delle vittime attraverso vulnerabilità dei server e delle workstation. Una volta ottenuto l’accesso, lo script tenta di manipolare Windows Defender per ottenere diritti amministrativi e interrompere il funzionamento di vari software antivirus.
Una volta che ciò avviene, viene scaricata una backdoor, un keylogger e un miner. Con quest’ultimo, i cybercriminali agiscono sfruttando l’hardware per estrarre criptovalute come Monero (XMR).
In contemporanea, il keylogger registra le sequenze di tasti digitate dall’utente, tentando di sottrarre password e altre informazioni preziose per la vittima. Infine, la backdoor continua ad agire, stabilendo una connessione con un server di comando e controllo, con gli aggressori che possono gestire da remoto il sistema compromesso.
Per Vasily Kolesnikov, esperto di sicurezza di Kaspersky “Questa campagna multi-malware si sta evolvendo rapidamente introducendo nuove modifiche. La motivazione dell’aggressore sembra essere esclusivamente un guadagno finanziario utilizzando tutti i mezzi disponibili“.
Lo stesso esperto ha poi aggiunto come “La ricerca dei nostri esperti di sicurezza informatica suggerisce che i cybercriminali non si limitano al mining di criptovalute. Potrebbero invece includere anche la vendita di credenziali di accesso rubate sul Dark Web o l’esecuzione di scenari avanzati utilizzando funzionalità backdoor. I nostri prodotti come Kaspersky Endpoint Security sono in grado di rilevare tentativi di infezione, compresi quelli di nuove modifiche, grazie alle loro funzioni di protezione complete“.