Kaspersky: Il cybercrime ha lanciato una nuova campagna per diffondere malware, usando i certificati di sicurezza come esca. Obiettivo: distribuire la backdoor Mokes e il trojan Buerak tramite falsi aggiornamenti

Il cybercrime usa i certificati di sicurezza per diffondere malware. Lo hanno scoperto i ricercatori di cyber security di Kaspersky. Nei giorni scorsi è stata individuata una nuova campagna che veicola la backdoor Mokes e il trojan Buerak attraverso una tecnica di phishing che tenta di indurre le vittime ad accettare un “aggiornamento” dei certificati di sicurezza dei siti Web. Secondo quanto riportato, le prime infezioni risalgono a gennaio. A chi visita un sito internet compromesso appare un avviso che informa che il certificato di sicurezza del sito Web non è aggiornato e che, pertanto, bisogna procedere all’installazione di un aggiornamento. Se la vittima cade nel tranello, accettando l’upgrade, si avvia il download del file Certificate_Update_v02.2020.exe. Questo, una volta installato, distribuirà una delle due varianti del codice malevolo.

Gli esperti di cyber security del CERT-PA: Il messaggio è annidato in un iframe e il contenuto viene caricato tramite uno script jquery.js da un server di C2 di terze parti, mentre la barra dell’URL mantiene l’indirizzo del dominio legittimo

Gli esperti di cyber security del CERT-PA fanno notare che il messaggio è annidato in un iframe e il contenuto viene caricato tramite uno script jquery.js da un server di comando e controllo (C2) di terze parti, mentre la barra dell’URL mantiene l’indirizzo del dominio legittimo. Lo script si sovrappone a un iframe che ha le stesse dimensioni della pagina, e di conseguenza, invece della pagina originale, l’utente vede un banner apparentemente autentico che richiede di installare l’aggiornamento. Da qui parte l’istallazione dei due malware del cybercrime. Mokes è una backdoor in grado di eseguire codice, acquisire schermate, rubare informazioni sul PC tra cui file, audio e acquisizioni video. Buerak, invece, è un Trojan basato su Windows in grado di eseguire codice, manomettere i processi in esecuzione, rubare il contenuto, mantenere la persistenza attraverso le chiavi del registro e rilevare varie tecniche di analisi e sandbox.