In una recente ricerca, gli esperti di Kaspersky hanno analizzato la sospettosa campagna messa in atto da Zanubis, un trojan bancario che si distingue la sua abilità nell’assumere le sembianze di applicazioni legittime, generando malware. Questa indagine ha fatto chiarezza anche sul recente cryptor/loader AsymCrypt e sull’evoluzione dello stealer Lumma, sottolineando l’esigenza crescente di una maggiore sicurezza digitale.
“I criminali informatici sono inarrestabili nella loro ricerca di guadagno: si avventurano nel mondo delle criptovalute e addirittura si spacciano per istituzioni governative pur di raggiungere i propri obiettivi – testimonia Tatyana Shishkova, a Lead Security Researcher di GReAT – Il panorama in continua evoluzione del malware, esemplificato dal versatile stealer Lumma e dalle ambizioni di Zanubis di diventare un vero e proprio trojan bancario, sottolinea la natura dinamica di queste minacce. L’adattamento a questa costante trasformazione dei codici maligni e delle tattiche dei criminali informatici rappresenta una sfida continua per i team di difesa”.
Ecco le tattiche dei 3 insidiosi malware
- Zanubis è un trojan bancario basato su Android, comparso ad agosto 2022, che prende di mira gli operatori nel settore finanziario e delle criptovalute in Perù. Assumendo l’aspetto di applicazioni Android peruviane, inganna gli utenti inducendoli a concedere le autorizzazioni di accesso, perdendone così il controllo. Ad aprile 2023, Zanubis si è evoluto, spacciandosi per l’applicazione ufficiale dell’organizzazione governativa peruviana SUNAT. Per nascondere Zanubis è stato utilizzato Obfuscapk, un popolare software di offuscamento per file Android APK. Una volta ottenuta l’autorizzazione ad accedere al dispositivo, inganna la vittima, caricando il sito web SUNAT officiale utilizzando la funzione WebView, in modo da farlo sembrare legittimo.A differenza degli altri malware, Zanubis non ha una lista specifica di applicazioni da colpire, può invece essere programmato da remoto per rubare dati quando sono in esecuzione applicazioni specifiche. Questo malware può creare una seconda connessione, che potrebbe dare ai criminali il pieno controllo del dispositivo e addirittura disabilitarlo spacciandosi per un aggiornamento Android.
- Un’altra recente scoperta di Kaspersky è il cryptor/loader AsymCrypt, che colpisce i crypto wallet ed è venduto nei forum clandestini. Come emerso dall’indagine, si tratta di un’evoluzione del loader DoubleFinger, che funge da “facciata” per un servizio di rete TOR. Gli acquirenti personalizzano i metodi di injection, i processi di destinazione, la durata dell’avvio e i tipi di stub per le DLL malevole, nascondendo il payload in un blob crittografato all’interno di un’immagine .png caricata su un sito di image hosting. L’esecuzione decripta l’immagine, attivando il payload nella memoria.
- Il monitoraggio delle minacce informatiche di Kaspersky ha condotto anche alla scoperta dello stealer Lumma, una famiglia di malware in evoluzione. Originariamente conosciuta come Arkeie ribattezzata Lumma conserva il 46% delle sue precedenti caratteristiche. Mascherato da convertitore di file da .docx a .pdf, la sua installazione illecita innesca un payload malevolo quando vengono caricati i file che presentano una doppia estensione.pdf.exe. Nel corso del tempo, la principale funzionalità delle diverse varianti è rimasta la stessa: rubare i file memorizzati nella cache, i file di configurazione e i log dai cripto wallet. Può farlo agendo come un plugin del browser, ma supporta anche l’applicazione indipendente Binance. L’evoluzione di Lumma include la possibilità di acquisire gli elenchi dei processi di sistema, modificare gli URL di comunicazione e perfezionare le tecniche di crittografia.
Secondo il consiglio di Tatyana Shishkova: “Per proteggersi da questi pericoli, le aziende devono essere vigili e ben informate. I report di Intelligence sono fondamentali per tenersi aggiornati sui più recenti strumenti malevoli e sulle tecniche di attacco, permettendoci di essere sempre un passo avanti nella battaglia per la sicurezza digitale”.