Chi usa torrent e streaming è a rischio di un doppio attacco hacker

Fifaworldcup2018 Torrent Ransomware Malware Infosec Vidar Gandcrab Malwarebytes Russia Streaming Cybercrime Cybersecurity Sicurezzainformatica Malware Socialengineering Cryptominer Adware Mobile Eset Mondiali Calcio 2018

Gli esperti di cyber security di Malwarebytes: Il cybercrime con un campagna di malvertising su torrent e streaming cerca di inoculare prima un malware e poi un ransomware

Gli utenti torrent e streaming nel mondo stanno subendo attacchi hacker attraverso una campagna di malvertising. Lo hanno scoperto i ricercatori di cyber security di Malwarebytes. Le aggressioni cibernetiche avvengono in due fasi. Nella prima viene inoculato un malware che ruba dati e informazioni. Nella seconda, un ransomware che cripta i sistemi delle vittime e chiede loro un riscatto per sbloccarli. La gang del cybercrime usa le falle di Internet Explorer e Flash Player, che fanno parte del Fallout exploit kit. I criminali informatici agganciano i potenziali bersagli, con l’esca dei file torrent o di poter guardare gli ultimi film, programmi ed eventi in diretta. In realtà, li portano a scaricare i due payload malevoli, che poi con una sequenza ben precisa infetteranno le loro macchine.

Il malware usato per gli attacchi hacker è Vidar. Ruba informazioni e dati alle vittime, senza che queste se ne accorgano

In questa campagna di malvertising con doppio attacco cyber, il malware usato è Vidar. Questo prende di mira una serie di informazioni delle vittime: dalle password ai documenti, passando per gli screenshots, la cronologia del browser, i dati delle carte di credito e quelli immagazzinati nei software per la doppia autenticazione. Inoltre, il codice malevolo, può colpire i portafogli virtuali che contengono Bitcoin e altre cryptovalute. Peraltro, si mimetizza molto facilmente all’interno del sistema. Tanto che le vittime sono ignare di essere state compromesse. Da qui probabilmente il nome, in memoria di Norse God Víðarr il silente.

Il ransomware, invece, è GandCrab. E’ uno dei malware più pericolosi in circolazione e viene costantemente aggiornato per rendere difficile il lavoro degli esperti di cyber security

Le informazioni rubate da Vidar vengono inviate ai server di comando e controllo (C2) degli hacker malevoli. Questi, oltre a immagazzinarle, scaricano anche il secondo malware: il ransomware GandCrab, una delle famiglie di file-encrypting malevole più attive al momento su Internet. Il codice, infatti, è regolarmente aggiornato con nuove capacità, che da una parte lo rendono sempre più potente. Dall’altra, invece, complicano il lavoro degli esperti di cyber security e dei software per scoprirlo, analizzarlo e neutralizzarlo. Nel caso dei doppi attacchi hacker viene usata la versione 5.04, inoculata nel sistema della vittima circa un minuto dopo il download di Vidar. Appena installato, cripta tutti i file e invia all’utente un messaggio in cui si chiede il pagamento di un riscatto in Bitcoin o in Dash.

Il doppio cyber attacco tramite torrent e streaming potrebbe avere vari scopi. Non solo trarre profitti, ma anche coprire le tracce e rimanere invisibile più tempo possibile

Alcuni esperti di cyber security ritengono che l’obiettivo del cybercrime non sia solo trarre il massimo profitto dalla vittima. Il doppio attacco potrebbe avere finalità diverse. In particolare l’uso di GandCrab nella fase due dell’aggressione hacker. Qui le ipotesi sono due. Nella prima il ransomware potrebbe servire per coprire il lavoro di Vidar, e quindi garantire a chi ha rubato le informazioni una finestra temporale per usarle, prima che siano bloccate e diventino inutili. Nella seconda, più catastrofica, gli attori malevoli potrebbero usare il malware addirittura per distruggere i sistemi infetti, allo scopo di coprire le tracce.