Vi abbiamo già parlato della massiccia campagna di phishing lanciata dai cyber-criminali durante l’emergenza Coronavirus, senza però entrare nel dettaglio. La costante necessità di evoluzione richiesta dai malware ha reso i criminali più aggressivi nel tempo, tanto che alcuni hanno “imparato” a bypassare le difese, come il famigerato 404keylogger. Ecco cos’è e quali antivirus sono consigliati per eliminarlo.
Il processo di infezione
A seguito di una segnalazione tempestiva su Twitter, lanciata da due ricercatori già noti per la loro lotta contro le campagne malspam, è emerso come questo malware sia stato diffuso principalmente nel nostro paese grazie ad una ondata di email sospette. L’attacco si presenta come una semplice e-mail di segnalazione legata ad una spedizione del gruppo TNT; viene chiesto all’utente di scaricare un file di tracking, che si rivela poi essere il malware vero e proprio.
Originariamente, 404keylogger era stato progettato con scopi benevoli, ma è successivamente diventato un cavallo di battaglia degli hacker dopo aver scoperto che potesse rimanere ignoto ai programmi di rilevamento. Una semplice modifica gli ha permesso di diventare un pericoloso sistema per rubare informazioni sensibili della vittima.
Una volta avviato l’eseguibile, il malware attiva una serie di timer ripetibili tramite i quali svolge determinati processi. Tra questi sono inclusi la copia dei dati della clipboard, i tasti digitati dall’utente, una serie di screenshots, registrazione vocale e scansione dei processi in corso. Dopo aver raccolto le informazioni, 404keylogger invia tutto alla casella di posta info.center3@ebop.website utilizzando diversi tipi di protocollo.
Guida all’identificazione
Sebbene possa sembrare intimidatorio, questo malware opera secondo le regole “standard” di infezione e ha quindi bisogno di un input della vittima per iniziare ad operare. Il phishing infatti si basa interamente sull’esca gettata nel mare, alla quale l’utente abbocca proprio come un pesce. Una volta superato questo scoglio, 404keylogger rimane quasi del tutto “invisibile” agli antivirus classici, agendo come un processo benevolo.
Riportiamo di seguito una serie di accorgimenti chiave per identificare un caso di phishing:
- Posta indesiderata o sospetta: e-mail da indirizzi che non conosciamo, con richieste di download o apertura di link altrettanto sospetti. E’ sempre bene fare un double-check prima di aprire qualsiasi cosa.
- Link accorciati: molto spesso, i cyber-criminali fanno uso di link modificati per nascondere la vera natura della destinazione. Una scelta classica è il dominio bit.ly (o bitly.com) che permette di mascherare la stringa originale.
- Files con doppio formato: ci sono anche casi più rari di file scaricabili con un doppio formato, studiato per ingannare l’utente. Per fare un esempio, un file potrebbe presentarsi come “oggetto.rar.exe”, quindi un eseguibile mascherato da archivio compresso.
- Pop-up o pubblicità ingannevoli: il phishing non viaggia solo tramite email, ma anche tramite Ad-spam sui motori di ricerca. Esiste una quantità davvero enorme di varianti di questa tecnica, quasi tutte legate ad una presunta “vincita”.
Quali antivirus per eliminare il malware?
Trattandosi di un programma studiato precisamente per rimanere nell’ombra, gli antivirus classici come Avira e McAfee hanno molta difficoltà ad identificare e isolare la minaccia. Questo malware non colpisce solo le directory principali, ma anche le chiavi di registro e i file root del sistema operativo, corrompendolo in profondità.
Esistono, fortunatamente, programmi anti-malware che effettuano una analisi completa della macchina infettata, segnalando tutte le anomalie presenti, incluse quelle non apertamente segnalate come “virus”. Una delle scelte migliori in questo caso, è l’antivirus MalwareBytes. La scansione include tutti i file presenti nel sistema, le directories, le chiavi di registro e i file di root, permettendo quindi un controllo a tappeto dell’intera macchina. Un ulteriore vantaggio è la velocità di analisi, che non impiega più di un quarto d’ora a completarsi.
Qualora questo sistema non dovesse funzionare, i sistemi operativi come Windows presentano una funzione nota come “punti di ripristino”. Si tratta di salvataggi automatici effettuati dal nostro computer in momenti cruciali come aggiornamenti di driver e software, che possono tornare molto utili in caso di infezione.
Una volta individuato il momento di origine dell’attacco (una determinata ora o un giorno), è possibile effettuare il rollback del sistema al punto di ripristino precedente. In questo modo, la macchina torna letteralmente indietro nel tempo, annullando tutte le operazioni eseguite successivamente a quel salvataggio e prevenendo, di fatto l’attacco informatico.
La nuova campagna di phishing con 404keylogger è solo l’ultima delle strategie utilizzate per colpire gli utenti comuni. Ciascuno di noi dovrebbe valutare i rischi con attenzione ogni qualvolta apre una email o accede al browser, prevenendo i cyber-attacchi ove possibile.
A cura di
Francesco Antoniozzi
Fonti:
Credits: