Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Nuova campagna di email dannose: in diffusione il malware SmokeLoader
- MARTEDÌ 30 GENNAIO 2018


Gli allegati email
sono il mezzo preferito dagli aggressori per diffondere malware. Possono essere utilizzati per attaccare un utente specifico o più utenti contemporaneamente lanciando campagne di posta indesiderata. Per riuscire a portare a termine un attacco malware, è necessario che i destinatari dell'email dannosa si fidino e facciano ciò che l'hacker vuole. Per raggiungere questo obiettivo, gli autori di malware impiegano sempre nuove tattiche per rendere le loro email più credibili possibile.

I Quick Heal Security Labs hanno recentemente osservato una nuova campagna di spam che sta diffondendo il malware SmokeLoader. SmokeLoader è un Trojan downloader ed è noto per il download e l'installazione di altri malware sul computer infetto.

L'infezione
L'attacco inizia con un'email di spam che finge di essere una domanda di lavoro. Questa email contiene un file .zip protetto da password. La password per aprire il file zip è indicata nel corpo dell'email di spam stessa. Questo trucco dà all'aggressore i seguenti vantaggi:
  • L'email sembra più legittima per l'utente
  • È difficile per i moduli di protezione della posta elettronica eseguire la scansione di file all'interno di file .zip protetti da password.
La Fig. 1 mostra un esempio di email utilizzata nella campagna.

Fig 1. Email con un allegato dannoso

Come possiamo vedere nella figura 1, l'email si presenta come una richiesta di lavoro, contenente un curriculum in un file .zip protetto da password. Dopo averlo scaricato, il file .zip richiede la password (12345), che è fornita nel corpo dell'email. Una volta eseguita l'estrazione, si ottiene il file "resume.doc". Questo file è documento Word contenente una macro dannosa. Se l'utente tenta di aprire il documento per visualizzarne il contenuto, viene richiesta l'abilitazione della macro facendo clic sul pulsante "Abilita Contenuto" come mostrato nella figura 2.

Fig 2. File Doc che chiede di abilitare la macro

Quando l'utente attiva la macro facendo clic su "Abilita Contenuto", in background viene eseguita la macro dannosa che a sua volta avvia PowerShell: a sua volta PowerShell richiede il file, ospitato in remoto, lo scarica, quindi esegue il payload dannoso sul sistema dell'utente.

Fig 3. Codice macro dannoso all'interno del file doc

Il codice sopra menzionato lancia un PowerShell con parametri dannosi come mostrato in fig 4.

Fig 4. PowerShell in esecuzione con parametri dannosi

Il file dannoso è salvato come "poop.jpg" sul server dell'attaccante: in realtà è l'eseguibile del malware SmokeLoader. Questo file viene scaricato sul sistema con il nome DKSPKD.exe nella cartella  %Temp% e avviato per eseguire le attività dannose.

Alcune delle attività significative osservate durante l'analisi di questa campagna di truffa sono le seguenti:
  • Il malware funziona solo su Microsoft Windows 8 e successivi
  • Durante l'esecuzione, il malware blocca tutti i processi relativi agli strumenti di analisi del malware e al debugger.
  • Una volta eseguita correttamente, SmokeLoader può scaricare altri componenti del malware sul sistema infetto.
Il rilevamento da parte di Quick Heal
Quick Heal Browser Protection blocca correttamente gli URL dannosi utilizzati per scaricare il payload.


La protezione Anti-Virus di Quick Heal rileva e blocca con successo i file dannosi responsabili della distribuzione del payload nel sistema.



La protezione Anti-Virus di Quick Heal rileva e blocca anche il payload di SmokeLoader.



Come proteggersi dai malware
  • Non scaricare allegati o cliccare sui collegamenti ricevuti da fonti di posta sconosciute, indesiderate o impreviste.
  • Fare attenzione alle email che chiedono di abilitare i "macro" per visualizzare il contenuto.
  • Mantenere aggiornato l'antivirus e assicurarsi di utilizzare la versione più recente.
  • Conservare sempre un backup dei dati importanti.
  • Applicare tutti gli aggiornamenti consigliati sul sistema operativo e programmi come Adobe, Java, browser Internet, ecc.
  • Assicurarsi che gli aggiornamenti automatici del computer siano abilitati.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 16 FEBBRAIO 2018
Quick Heal: report annuale 2018 sulle minacce informatiche. Ransomware e Exploit.
Il report annuale fornisce una panoramica dei rischi informatici più pericolosi e diffusi del 2017, per home user e aziende. Si divide in due sezioni, una per Windows e u...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2018 nwk - Privacy Policy - Login