Occhio al virus che funziona come una "bomba a grappolo". L'allarme degli esperti

Allarme della società di sicurezza Outpost24 (qui), che recentemente è riuscita a individuare una nuova tipologia di virus informatico. A rendere particolare questo nuovo metodo d'attacco è la sua capacità di colpire i sistemi operativi bersaglio agendo come una sorta di bomba a grappolo. Quando entra in azione, dunque, rilascia simultaneamente tutta una serie di malware in grado di agire su più fronti.

Gli esperti di Outpost24 hanno ribattezzato il gruppo di hacker che sta dietro questo virus col nome di Unfurling Hemlock. A quanto pare si tratta d cyber-criminali dell'Est Europa, che agisce utilizzando diversi canali di distribuzione, spargendo centinaia di migliaia di campioni di malware, e infettando ciascuna vittima con un massimo di dieci virus contemporaneamente.

Ecco come funziona

Stando a quanto riferito da Outpost24, il suo team di Cyber ​​Threat Intelligence, KrakenLabs, ha individuato questa nuova minaccia analizzando dei TTP comuni nelle campagne malware relative allo scorso anno. Il malware in questione è stato distribuito mediante dei file compressi, a cui è stato dato il nome WEXTRACT.EXE.MUI. Secondo gli esperti, il gruppo Unfurling Hemlock è entrato in azione nel febbraio del 2023, e da quel momento sarebbe riuscito a mettere in giro per la rete almeno 50mila file infetti.

WEXTRACT.EXE.MUI, ossia il virus di partenza, riesce a raggiungere i sistemi operativi mediante email infette o programmi/software scaricati gratuitamente. Una volta entrato nei nostri dispositivi, esattamente come una bomba a grappolo, si apre e rilasciata moltissimi altri virus, in grado di attaccare contemporaemente. Fra questi, fanno sapere i tecnici di Outpost24, si trovano diversi stealer, come Redline, RisePro e Mystic Stealer, e da loader, come Amadey e SmokeLoader. Molti file contenuti nella "bomba" hanno anche la capacità di favorire l'infezione, essendo in grado di disabilitare Windows Defender e altri sistemi di protezione.

Il gruppo criminale, dunque, ha la possibilità di rubare le informazioni alla vittima, e caricare ulteriori malware nel computer preso di mira. A quel punto può anche richiedere il pagamento di un riscatto, come spesso accade.

Il malware si è diffuso

Secondo l'analisi di Outpost24 alla base di questa minaccia c'è la volontà di diffondere il più possibile questo malware. Unfurling Hemlock, infatti, avrebbe incaricato altri operatori di distribuire il virus. Ovviamente le ragioni d questo attacco sono puramente finanziarie.

I Paesi maggiormente colpiti, fino ad ora, sono stati:

Stati Uniti (50.8%), Germania (7.8%), Russia e Turchia (6.3%), India (3.9%), Canada (2.8%), Repubblica Ceca (2.4%), Cina (2.3%), Spagna (2.0%), Corea del Sud (1.2%). Il restante 20% degli attacchi riguarda le altre Nazioni.