MassLogger malware: cos’è e come agisce

Se il tuo dispositivo è stato infettato da un malware, ransomware o altro tipo di applicativo dannoso e non riesci ad accedere ai tuoi dati, la tempestività è essenziale. Utilizzo il device il meno possibile e contattaci per una prima diagnosi e un preventivo. A Recovery File siamo specializzati nel recupero dei dati e offriamo i nostri servizi in tutta Italia.

contattaci bottone

MassLogger: tutto quello che c’è da sapere

Poter navigare liberamente nel web, alla ricerca di informazioni, notizie o per puro svago al giorno d’oggi è facilissimo. Abbiamo la possibilità di essere connessi in ogni dove, condividere foto, documenti e informazioni ovunque e con chiunque. Spesso però non ci rendiamo conto di quanto il web sia un posto pericoloso e pieno di insidie. Siamo potenzialmente e in continuazione sotto attacco di chi tenta di entrare nei nostri pc e nei nostri smartphone alla ricerca di dati sensibili con il fine di estorcere denaro, direttamente o indirettamente.

Uno di questi pericolosi virus, in grado di intrufolarsi nel nostri pc e in grado di rubarci notizie delicate, è stato identificato come MassLogger. Cerchiamo di seguito di approfondire la conoscenza di questo malware per capire come meglio difendersi.

Che cos’è MassLogger

A partire dallo scorso gennaio 2021, si è diffuso Masslogger, un malware che ruba i dati sensibili di utenti privati e mira a scovare le credenziali di accesso degli organi coinvolti nella Pubblica Amministrazione. Il virus è in circolazione dal 2020 in realtà e viene identificato come un keylogger, ovvero un programma che riesce ad intercettare ciò che l’utente compone sulla propria tastiera senza rendersene conto.

Questo trojan utilizza una parte di codice con l’estensione .NET per accedere al server e con le funzioni di infostealer e spyware, ruba le credenziali di accesso degli utenti, per poi entrare in un secondo momento, per procedere con la fase di codifica.

Tra i programmi e le applicazioni prese di mira ci sono quelle che quasi chiunque utilizza con regolarità ogni giorno:

  1. Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Yandex,
  2. Outlook e Thunderbird;
  3. Telegram, Discord, Pidgin;
  4. ClientVPN o NordVPN;
  5. Client FTP – FileZilla.

Masslogger ha come obiettivo quello di rubare le credenziali di accesso ai dispositivi delle vittime, per poi effettuare successivamente un furto di dati sensibili.
Il CERT-AgID, l’agenzia che si occupa di Italia digitale, con @JamesWT_MHT, il ricercatore di sicurezza indipendente, ha confermato come gli attacchi avvengano soprattutto tramite posta elettronica.

Vengono presi di mira dati, video, documenti contenenti informazioni personali e finanziari come i dati dei conti in banca e delle carte di credito per i privati e tanti altri dati di organi della pubblica amministrazione.

Questo malware ha avuto diffusione in diversi Paesi Europei quali Francia, Gran Bretagna, Belgio, Austria, Repubblica Ceca, Danimarca, Olanda, Spagna, Germania, fino agli USA.

Come agisce MassLogger

La velocità di aggiornamento di MassLogger è una delle sue caratteristiche più pericolose. Il modo in cui questo malware sembra agire è tramite e-mail di phishing. Il messaggio inviato tramite posta elettronica contiene un file compresso con estensione “r00” al cui interno sono contenuti file CHM (che presentano lo stesso formato dei file HTML) codificati con JavaScript, scritto in modo l’infezione si propaghi.

Generalmente, il server di download è un host legittimo compromesso da cui viene scaricato il codice. L’astuzia di questo virus sta nel fatto che la compressione permette di eludere i controlli di sicurezza. Una volta scaricato e installato il file, il malware inizia la sua losca azione di spionaggio e copia dei dati sensibili. Queste informazioni rubate vengono poi trasmesse tramite protocolli FTP, HTTP o SMTP.

Gli analisti sono riusciti ad identificare gli indici di compromissione aggiornati (IoC), tramite i quali è possibile risalire ad una versione molto diffusa del virus. Hanno osservato come il campione studiato contenga all’interno due packer .NET accomunati dalle tecniche di occultazione del proprio payload.

L’utilizzo di due packer separati è una mossa astuta, in quanto il primo contiene le informazioni utili per la decodifica, ma l’estrazione avviene grazie al secondo packer.

L’obiettivo dei cybercriminali è quello di sottrarre i dati per poi rivenderli oppure per utilizzarli per nuovi attacchi.

Come difendersi da Masslogger: alcuni consigli utili

  • Il phishing sicuramente rimane ancora la tecnica più efficace e diffusa. Complice è spesso la scarsa attenzione degli utenti che navigano sul web. Il phishing consiste nel portare l’utente a cliccare su determinati link e scaricare dei file presenti nei messaggi di posta elettronica. A trarre in inganno è il fatto che le e-mail ricevute, vengono inviate da utenti con nomi conosciuti e presenti nella lista contatti. Infatti, i due terzi degli utenti incappa in questa truffa;
  • Per tutelarsi, non bisogna mai aprire e-mail sospette e contenenti degli allegati, di cui non conosciamo il mittente. Una buona prassi consiste nell’inviare una mail di richiesta conferma e informazioni, riguardo al contenuto della mail, quando non si conosce il mittente;
  • Aggiornare sempre l’antivurs;
  • Eseguire un backup con cadenza periodica dei dati importanti;
  • Copiare e rendere disponibili i dati su più data storage;
  • Tenere aggiornate sempre anche le periferiche di archiviazione esterne con un buon antivirus: una fonte di infezione diffusa e provilegiata dai virus sono i dispositivi USB;
  • Prevedere dei programmi di security awareness, non solo in ufficio per i dipendenti, ma per tutti quegli utenti in contatto con l’azienda, come clienti, fornitori e visitatori, in modo tale che essi siano a conoscenza delle possibili minacce informatiche e come proteggersi dagli attacchi;

In conclusione, in caso di attacco con keylogger, è importante non farsi prendere dal panico e rivolgersi subito agli specialisti in recupero dati, per limitare danni più gravi e mettere in sicurezza tutti i dati personali.

Condividi questo articolo
MassLogger malware: cos’è e come agisce