attacchi informatici

Attenti al Software AdvancedIPSpyware

991 0

AdvancedIPSpyware è un tool che ha già infettato diverse aziende. Vediamo come funziona, come è stato sviluppato e come difendersi.

Cos’è AdvancedIPSpyware?

Advanced IP Scanner è un software utilizzato specialmente da amministratori di sistema nelle aziende e da privati. E’ stata rilevata una versione modificata del popolare tool per amministratori di sistema Advanced IP Scanner. Il certificato di firma valido lo rende insospettabile, ma sotto si nasconde una pericolosissima backdoor pronta per essere utilizzata per avere totale accesso alla rete aziendale.

La nuova release fake è stata ribattezzata “AdvancedIPSpyware” e questo tool ha già infettato più di 80 organizzazioni in tutto il mondo!

Come funziona AdvancedIPSpyware?

La scoperta è stata fatta dal team di ricerca di Kaspersky, alcuni giorni fa ne ha pubblicato il report.

Questo tool malevolo è stato ovviamente ospitato su due siti internet creati utilizzando nomi di dominio confondibili. Questa tecnica sfrutta errori di battitura effettuati dagli utenti nella barra dell’URL rispetto all’originale, tecnica utilizzata dai cyber criminali negli attacchi di phishing. Questa volta utilizzata però per diffondere tale malware.

Il software malevolo è stato inoltre firmato con un certificato autentico, “molto probabilmente rubato da un fornitore ufficiale del software” che è stato preso di mira.

Il software originale utilizza l’anonimizzazione e proprio per questo è difficile individuare le organizzazioni criminali che lo utilizzano.

AdvancedIPSpyware: come è stato sviluppato?

Il tool fake è stato sviluppato utilizzando un’architettura modulare, modello utilizzato tipicamente dai criminali informatici (gruppi cyber sovvenzionati da Stati o governi).
Stando all’analisi le organizzazioni prese di mira indicano che questa campagna di malware non è motivata politicamente.

Il tool è composto da tre moduli che nel dettaglio sono:

Modulo principale

E’ il modulo principale che aggiorna, elimina o crea nuove istanze di se stesso.

Modulo di esecuzione dei comandi

Probabilmente il modulo più importante perché comprende tutte le funzionalità relative allo spyware, (raccolta di informazioni, esecuzione dei comandi etc…)

Modulo di comunicazione di rete

Anche questo modulo è importante perché gestisce tutte le funzionalità relative all’invio di      messaggi heartbeat.

Kaspersky ha effettuato un’analisi dei metodi di infezione utilizzati dai cyber criminali: la mail rimane il metodo più comune utilizzato sia dai cyber criminali che dai governi.

“Abbiamo esaminato le tecniche meno comuni utilizzate dai criminali informatici: entrambe sono ben note e finora non sono state esposte. Vale a dire, AdvancedIPSyware è caratterizzato dalla sua architettura insolita, dall’uso di uno strumento legittimo e da una copia quasi identica del sito Web legittimo”.

Come ci difendiamo contro lo spyware in azienda?

Utilizzare malware che sfruttano le backdoor con un certificato firmato valido, non è una tecnica nuova. Questi cyber criminali sviluppatori di malware innovano continuamente sia il codice che le tattiche da utilizzare per coprire nuovi ambiti e aumentare così il numero di vittime.

Ecco i suggerimenti principali per difendersi da questo tipo di attacco:

  1. Evitare di fare download di software da fonti non verificabili e poco note.
  2. Verificare nel dettaglio anche l’indirizzo Internet (l’indirizzo fake sarà molto simile all’originale)
  3. Utilizzare tecnologie per servizi RDP (desktop remoto utilizzate di solito per accedere ai server aziendali), sempre sotto VPN e con autenticazione a due fattori e l’inserimento di password forti.
  4. Tenere sempre aggiornati i propri prodotti interni all’organizzazione, rilasciando e applicando se possibile centralmente le patch necessarie.
  5. Aumentare la conoscenza dei propri utenti spiegando e facendo vedere nel dettaglio come avviene un attacco informatico.

Resta informato sul canale online di Giorgio Perego!

Il Cam TV Giorgio Perego

Consulta il volume di EPC editore

Giorgio Perego

Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati.

Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica.

Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.

Giorgio Perego

Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati. Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica. Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.