STRRAT 1.2: IL NUOVO MALWARE CHE PREOCCUPA L’EUROPA

warning-2168379_1280_900x400.png

Il Cryptolocker non sembra funzionare particolarmente bene, ma questo non lo rende meno pericoloso.

 

I ricercatori di Microsoft avvisano della distribuzione massiva durante l’ultima settimana di un nuovo Malware, denominato “STRRAT”. Tale Malware si diffonde attraverso messaggi di posta elettronica con oggetto “Outgoing Payments”, al cui interno è contenuto un allegato JAVA (.jar).

L’infezione iniziale del sistema avviene tramite l’apertura/esecuzione dell’allegato, che si occupa di effettuare il download di molteplici ulteriori componenti del Malware e della loro esecuzione.

A seguito dell’infezione del sistema viene installato un meccanismo di controllo remoto che permette all’attaccante di impartire comandi al sistema. Tramite i comandi impartiti l’attaccante può compiere principalmente le seguenti azioni:

  • Furto delle credenziali salvate all’interno di software quali Internet Explorer, Edge, Firefox, Chrome, Thunderbird, Outlook e Foxmail;
  • Attivazione/disattivazione di un Desktop Remoto, tramite cui l’attaccante può visualizzare il desktop del sistema infetto;
  • Crittografia dei dati sul sistema colpito;
  • Attivazione di un servizio di Reverse Proxy;
  • Creazione di una lista dei software in esecuzione automatica sul sistema colpito;
  • Apertura di un messaggio tramite Notepad;
  • Attivazione di un KeyLogger (software che si occupa della registrazione dei tasti premuti dall’utente sul sistema e della loro memorizzazione);
  • Attivazione di un File Manager, software utilizzato per l’esplorazione, estrazione, inserimento ed apertura dei file contenuti all’interno del sistema;
  • Attivazione di una PowerShell accessibile da remoto;
  • Disattivazione del Malware.

Attraverso questi comandi l’attaccante ha il pieno controllo del sistema infetto e tra le azioni che può intraprendere possiamo citare: furto delle credenziali di accesso memorizzate all’interno del sistema, controllo remoto tramite un Desktop Remoto, installazione/disinstallazione di software, controllo della navigazione Internet dell’utente, download/upload di file, registrazione di ogni tasto premuto dall’utente.

Inoltre, il malware dispone di un sistema di crittografia dei dati presenti sul sistema infetto, similarmente a quanto avviene a seguito dell’infezione di un Malware di tipo Cryptolocker. A differenza di altri malware similari, STRRAT non effettua una vera crittografia dei file sul sistema infetto, ma si limita a rinominarli aggiungendo ad essi l’estensione .crimson, rendendoli di fatto non più accessibili dal sistema operativo in quanto aventi un’estensione sconosciuta. Presumibilmente la funzionalità di apertura di un messaggio tramite Notepad viene utilizzata dagli attaccanti per visualizzare un messaggio di riscatto in modo da ottenere nuovamente l’accesso ai dati “crittografati”, esattamente come avviene con altri Ransomware di tipo Cryptolocker.

A differenza però di un reale Cryptolocker STRRAT, come detto in precedenza, non effettua nessuna crittografia del dato, ma si limita a rinominare il nome file aggiungendo l’estensione .crimson. Ad esempio, un file denominato “Fattura-2021.pdf” verrà trasformato in “Fattura-2021.pdf.crimson”. Per accedere nuovamente al file sarà sufficiente rinominare il file eliminando l’estensione .crimson.

Per verificare manualmente un’eventuale infezione del vostro PC da parte di STRRAT potete ricercare la presenza dei seguenti files:

  • %APPDATA%\bqhoonmpho.vbs
  • %APPDATA%\edeKbMYRtr.vbs
  • %APPDATA%\ntfsmgr.jar

Nel caso della presenza di uno o più dei file sopra riportati, probabilmente il vostro sistema è infetto. Vi consigliamo di scollegare immediatamente il sistema dalla rete Internet, e contattare l’assistenza tecnica della vostra Azienda. Nel caso di un computer personale, l’esecuzione di una scansione tramite un antivirus aggiornato potrebbe risolvere la situazione, ma per avere maggiore certezza della completa disattivazione del Malware dal vostro sistema vi consigliamo di rivolgervi a personale tecnico specializzato.

Consigliamo per la protezione generale del vostro sistema di non eseguire allegati e-mail provenienti da fonti non attendibili e verificare periodicamente che l’antivirus presente sul vostro sistema sia attivo e aggiornato.

 

 

Tags: GRUPPO ALTEA

Copyright © 2018 GRUPPO ALTEA - Tutti i diritti riservati - Credits

Privacy Policy Cookie Policy