Kaspersky

Malware camuffati da certificati di sicurezza: la nuova scoperta di Kaspersky

di pubblicata il , alle 14:21 nel canale Security Malware camuffati da certificati di sicurezza: la nuova scoperta di Kaspersky

Mokes e Buerak sono due malware che vengono distribuiti in maniera particolarmente originale, sotto forma di aggiornamenti dei certificati di sicurezza. Una novità assoluta nel panorama dell'hacking, secondo Kaspersky

 

In più occasioni è capitato che dei malintenzionati tentassero di installare dei malware spacciandoli per aggiornamenti software, ad esempio della versione di Flash. Quest'anno però i ricercatori di Kaspersky si sono imbattuti in un approccio nuovo, nel quale il malware viene veicolato tramite un falso certificato di sicurezza.

Non aggiornate quel certificato

La nuova metodologia di attacco scoperta da Kaspersky è stata usata a partire dal 16 gennaio 2020 ed è stata veicolata tramite vari siti, fra i quali quello di uno zoo e quello di un rivenditore di componenti per il mondo automotive. I visitatori di questi siti si trovavano di fronte a un messaggio che li avvisava della presenza di un certificato di sicurezza scaduto.

mokes_buerak_fake_certificates

Il messaggio appariva all'interno di un iFrame che si sovrapponeva alla finestra principale, lasciando visibile il nome del sito originale, e quindi garantendo un falso senso di sicurezza. Acconsentendo all'aggiornamento, veniva scaricato il file Certificate_Update_v02.2020.exe, usato per veicolare almeno due tipi di malware: Buerak e Mokes. Quest'ultimo, in particolare, è piuttosto insidioso, dal momento che riesce a nascondersi efficacemente nel sistema ed è in grado di prendere screenshot dello schermo a intervalli regolari e inviarli agli attaccanti: viene usato per sottrarre credenziali di accesso.  

"Le persone sono particolarmente inclini a cadere nella trappola di questo tipo di minaccia perché si tratta di attacchi che prendono di mira siti web legittimi che l’utente probabilmente ha già visitato e conosce" - spiega "Inoltre, l'indirizzo indicato nell'iframe è, di fatto, il vero indirizzo del sito web. L’utente è quindi incentivato ad "installare" il certificato raccomandato per poter visualizzare il contenuto desiderato. Tuttavia, gli utenti dovrebbero sempre essere prudenti quando viene richiesto di scaricare qualcosa da una fonte online, è possibile che non sia davvero necessario".

 

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
aqua8406 Marzo 2020, 15:29 #1
sono sempre stati una figata gli iframe!!!
Dumah Brazorf06 Marzo 2020, 15:54 #2
Il fatto che nello screenshot si usi windows xp può significare qualcosa?
gerko06 Marzo 2020, 17:52 #3
Un firewall non blocca la connessione in uscita per mandare le schermate?
retuor06 Marzo 2020, 18:31 #4
Sono pochissime le persone che bloccano le connessioni in uscita, tutti pensano solo a quelle in entrata.
gerko06 Marzo 2020, 21:48 #5
Originariamente inviato da: retuor
Sono pochissime le persone che bloccano le connessioni in uscita, tutti pensano solo a quelle in entrata.


Serio?
Io anche le connessioni del sistema operativo in uscita le blocco.
zappy08 Marzo 2020, 19:24 #6
Originariamente inviato da: retuor
Sono pochissime le persone che bloccano le connessioni in uscita, tutti pensano solo a quelle in entrata.

ma anche no....

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^