Un nuovo malware capace di sfuggire ai più diffusi antivirus. Questa la nuova minaccia scoperta dalla società di sicurezza informatica Kaspersky, secondo la quale si tratterebbe di una novità assoluta per quanto riguarda tecnica e modalità di attacco. Presi di mira i computer gestiti dal sistema operativo Windows.
Stando a quanto diffuso dagli specialisti di Kaspersky il nuovo malware prenderebbe di mira i registri eventi di Windows. L'elemento nocivo è stato isolato durante un'analisi, con gli esperti arrivati ad affermare che si tratterebbe di un attacco mirato e particolarmente complesso.
Diversi gli strumenti utilizzati, incluso il tool SilentBreak, tanto che risulterebbero vari payload di shellcode a carico dei registri eventi di Windows. Interessati dall'attacco anche i servizi di gestione delle chiavi, denominati eventi KMS. A rendere possibile il tutto l'installazione di un programma che aiuterebbe a veicolare i codici nocivi.
Come accade in altri casi, gli hacker avrebbero sfruttato delle falle nella sicurezza di alcuni programmi. In sostanza agirebbero approfittando di quei software che presentano maglie di protezione piuttosto larghe. La tecnica utilizzata è quella di installazione di DLL malevoli, denominata "DLL highjacking".
Il nuovo malware è invisibile agli antivirus?
Il primo attacco risalirebbe a settembre 2021, e la campagna malware sarebbe stata soprannominata "SilentBreak" per via dello strumento più utilizzato dai cybercriminali. Non sono stati ancora scoperti i responsabili dell'attacco, che sembrerebbe però mirato all'ottenimento di dati di particolare rilevanza.
A stupire i ricercatori è stato soprattutto il livello di complessità dell'attacco, che renderebbe quasi invisibile il malware agli occhi degli antivirus per Windows.
Si tratta quindi di una minaccia particolarmente pericolosa per gli utenti, sebbene potrebbero non risultare i veri destinatari del software malevolo. Ad avvalorare la tesi che si tratti di persone particolarmente preparate anche alcune dotazioni del sistema di attacco, che prevede coperture anti-individuazione e persino dei "penetration test" come Cobalt Strike.- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.