I criminali informatici sono alla costante ricerca di nuovi metodi ch permettano di monetizzare i loro attacchi. Cisco Talos ha recentemente scoperto una variante del trojan denominato Masslogger che mira a colpire i sistemi Windows degli utenti in diversi paesi tra cui Italia, Turchia e Lettonia. In settembre, ottobre e novembre 2020, tipologie di attacco simili sono state rilevate anche in Bulgaria, Lituania, Ungheria, Estonia, Romania e Spagna.
La nuova versione del trojan Masslogger utilizza un approccio a più livelli, dall’email di phishing iniziale fino al payload finale, in questo modo i criminali informatici cercano di eludere il rilevamento. L’attacco inizia con un messaggio contenente un oggetto che sembra riferirsi a un’azienda. L’e-mail contiene un allegato RAR, che si espande successivamente in file con estensione del nome del file diversa (CHM). In questo modo l’e-mail elude i controlli di sicurezza che monitorano proprio l’estensione del file. Il file CHM è un file che contiene del codice JavaScript che serve proprio per avviare il processo di infezione: lo script in realtà è un downloader che installa il loader malevolo.
Nonostante la maggior parte dell’attenzione delle aziende sembra essere rivolta ad attacchi di tipo ransomware, è importante tenere a mente che gli i criminali informatici sono molto attivi e possono infliggere danni significativi rubando le credenziali degli utenti: questi dati hanno un valore enorme per i criminali, non solo perché possono essere venduti, ma anche perché possono essere usati per nuovi attacchi.
