Trend Micro: Nuova versione del ransomware Netwalker in circolazione. E’ un malware fileless, che viene eseguito direttamente nella RAM del sistema operativo della vittima. Sfrutta la DLL injection

C’è una nuova versione del ransomware Netwalker in circolazione, ancora più pericolosa della precedente. L’hanno scoperta i ricercatori di cyber security di Trend Micro. Il malware fileless del cybercrime viene eseguito direttamente nella RAM del sistema operativo della vittima, senza memorizzare il file malevolo sul disco rigido. Ciò per evitare di essere rilevato dagli antivirus e dai software di difesa. Gli esperti del CSIRT Italia (CSIRT-ITA) rilevano che il codice è scritto in PowerShell e sfrutta una tecnica denominata dynamic-link library (DLL) injection, nota anche come reflective loading. Questo tipo di attacco consente di iniettare una DLL direttamente nella memoria del processo “explorer.exe” e successivamente di rimuovere le copie di backup dei file del sistema attaccato, nonché di disattivare i software preposti all’individuazione delle minacce, come gli antivirus. Il ransomware può quindi cifrare liberamente i documenti sul sistema infetto per poi procedere alla richiesta di riscatto.

Gli esperti di cyber security: Il cybercrime  cripta principalmente file comuni, ma evita di rendere inservibile il sistema. Questa stessa tecnica era stata usata per diffondere ColdLock

Netwalker cripta principalmente file comuni come documenti Microsoft Office, PDF, immagini, audio, video e file di testo. Secondo gli esperti di cyber security, però, il cybercrime non vuole rendere inservibile il sistema. Il ransomware, infatti, evita di crittografare eseguibili, librerie Dynamic Link, registri o altri file di sistema. Sono vulnerabili all’attacco del malware tutti i dispositivi con sistema operativo Windows. Peraltro, questo stesso sistema era stato usato recentemente dai criminali cibernetici per diffondere un altro ransomware: ColdLock.