Kaspersky Lab scopre Grabit: spiate PMI in Thailandia, India e Stati Uniti

redazione

Grabit ha colpito altri paesi quali Emirati Arabi Uniti, Germania, Israele, Canada, Francia, Austria, Sri Lanka, Cile e Belgio.

“Abbiamo osservato molte campagne di cyberspionaggio concentrate su grandi aziende, enti governativi e altre realtà di alto profilo dalle quali erano però escluse le piccole e medie imprese. Grabit, invece, ci ha dimostrato che il cybercrimine non è un gioco che include solo i cosiddetti “pesci grossi” – nel mondo informatico ogni singola organizzazione che gestisce soldi, informazioni o potere politico è potenzialmente interessante per i criminali informatici. Grabit è ancora attivo per cui è davvero importante controllare la propria rete per accertarsi che sia sicura. Il 15 maggio scorso un semplice keylogger noto come Grabit è stato scoperto mentre tentatava di impossessarsi delle credenziali di migliaia di account sfruttando diversi sistemi infetti. Questa minaccia non deve essere sottovalutata,” – ha dichiarato Morten Lehn, Managing Director di Kaspersky Lab Italia

L’infezione comincia quando un dipendente di un’azienda riceve una email con un allegato che sembra un file Word Microsoft Office (.doc). Nel momento in cui l’utente clicca sul documento per procedere con il dowload, il programma spia viene inviato al PC da un server remoto che è stato precedentemente violato dai criminali per essere sfruttato come hub malware. Il cybercriminale controlla le sue vittime utilizzando il keylogger HawkEye, un tool di spionaggio commerciale di HawkEyeProducts e un modulo di configurazione contenente un numero RAT (Remote Administration Tools).

Il keylogger ha sottratto 2.887 password, 1053 email e 3.023 username da 4.928 host diversi in un solo server di comando e controllo, internamente ed esternamente, incluso Outlook, Facebook, Skype, Google Mail, Pinterest, Yahoo, LinkedIn e Twitter, così come conti bancari e altro.

 

    Un imprevedibile gruppo di criminali informatici

 

Da un lato, il gruppo criminale Grabit non ha fatto molto per nascondere la propria attività: alcuni sample dannosi usano lo stesso server di hosting e addirittura le stesse credenziali, mettendo a rischio la sua stessa sicurezza. Dall’altro, i criminali utilizzano potenti tecniche per tenere il codice nascosto agli occhi degli analisti. Questo ha portato gli esperti di Kaspersky Lab a credere che dietro all’operazione di “intercettazione” (o sniffing) si nasconde un gruppo di criminali con competenze tecniche di diverso livello: alcuni membri sono infatti più tecnici e attenti a rendere le proprie operazioni non rintracciabili rispetto ad altri. L’analisi degli esperti suggerisce che chiunque abbia programmato il malware non ha trascritto tutto il codice dallo scratch.

Per tutelarsi da Grabit, Kaspersky Lab raccomanda di seguire alcune semplici regole:

·       Сontrollare se la collocazione C:Users<PC-NAME>AppDataRoamingMicrosoft contiene file eseguibili. In questo caso è possibile che ci sia stata l’infezione malware. Questo avvertimento non va ignorato.

·       Le configurazioni Windows System non devono contenere grabit1.exe nella schermata di avvio.  Avviare “msconfig” ed assicurarsi che sia pulito da record grabit1.exe.

·       Non aprire allegati o link inviati da persone che non si conoscono. Se non è possibile non aprili, non inoltrarli ad altri e chiamare un amministratore IT che sia in grado di aiutarvi.

·       Usare una soluzione anti-malware avanzata e aggiornata e seguire sempre l’elenco AV indicato per processi sospetti.

I prodotti Kaspersky Lab sono in grado di rilevare tutti i sample Grabit e proteggere gli utenti dalle minacce.