I cybercriminali usano la Coppa del Mondo FIFA per coprire le loro comunicazioni

387

Scoperta una nuova violazione di Ammyy.com, sfruttato per distribuire il malware bancario Kasidet

Nella notte tra il 13 e 14 giugno scorsi, i ricercatori ESET hanno individuato una violazione ai danni di Ammyy Admin, sfruttato per distribuire una versione del software infettata dal malware bancario Win32/Kasidet. Per coprire le comunicazioni della loro rete malevola, i cybercriminali hanno sfruttato la Coppa del Mondo FIFA, utilizzando hxxp: // fifa2018start [.] Info / panel / tasks.php come URL del server di comando e controllo.

Kasidet è un bot venduto nel Dark Web ed utilizzato attivamente da vari gruppi di cybercriminali, che nella versione rilevata lo scorso giugno sul sito ammyy.com aveva due obiettivi principali: rubare file contenenti password o dati di accesso per portafogli di criptovaluta e riportare i processi che contengono nel nome alcune stringhe, tra cui bitcoin, kitty, multibit e xshell.

Ammyy.com non è nuovo a questo tipo di violazioni, dato che nell’ottobre 2015 il sito aveva iniziato a distribuire codici pericolosi collegati al gruppo di criminali informatici Buhtrap. I ricercatori di ESET hanno notato molteplici somiglianze con l’attacco di due anni fa: a quel tempo, gli hacker utilizzavano in modo illecito ammyy.com per distribuire numerose famiglie di malware, cambiandole quasi ogni giorno. Nel caso del 2018, i sistemi ESET hanno rilevato solo Win32 / Kasidet, ma la modalità di occultamento della payload è cambiata in tre occasioni, probabilmente per evitare il rilevamento da parte dei software di sicurezza. Un’altra similitudine tra i due incidenti è il nome identico del file che contiene la payload, ovvero Ammyy_Service.exe.

Gli esperti consigliano a tutte le potenziali vittime di adottare misure precauzionali e utilizzare una soluzione di sicurezza affidabile per verificare e disinfettare i propri dispositivi.