Cyber security, nuovo malware Gestuff attacca via Sms

Scoperto dai ricercatori di Cisco Talos

APR 12, 2019 -

Roma, 12 apr. (askanews) – Una nuova campagna malware basata su Android e destinata a colpire le istituzioni finanziarie australiane è stata scoperta da Talos, il centro di ricerca per l’intelligence e la cyber security di Cisco. L’attacco è associato, secondo i ricercatori della compagnia, alla truffa spam che sta mietendo vittime in Australia, la quale ha come titolo del messaggio di testo “ChristinaMorrow”.

Sebbene la raccolta delle credenziali di questo malware – denominato Gustuff – non sia particolarmente sofisticata, ha un meccanismo avanzato di autoconservazione. Anche se non si opera attraverso un tradizionale strumento di accesso remoto, questa campagna sembra essere indirizzata principalmente ad utenti privati, motivo per cui l’attacco avviene quasi esclusivamente tramite Sms. Oltre al furto di credenziali, questo malware include funzionalità come il furto dell’elenco dei contatti degli utenti, file e foto. Nonostante il target le aziende non devono essere ritenute “fuori dai guai”, in particolare poiché gli aggressori mirano anche ad account aziendali (i quali spesso sono la chiave per accedere ai conti bancari).

Le informazioni raccolte dal malware, nonché il successivo controllo sul dispositivo della vittima, consentono agli hacker di eseguire attacchi di social engineering più complessi. Il trojan può essere utilizzato per raccogliere nomi utente e password, nonché per riutilizzarli al fine di accedere al sistema dell’azienda in cui la vittima lavora. In particolare, in questo caso l’autenticazione a due fattori come sistema di verifica ulteriore potrebbe fallire, perché l’utente malintenzionato potrebbe sia inviare la richiesta principale, sia visualizzare l’Sms avendo precedentemente preso il controllo del dispositivo. Il consiglio di Talos per le aziende è quello di implementare l’autenticazione a due fattori basata sul client.

Una delle caratteristiche più impressionanti di questo malware è la sua resilienza. Se il server di comando e controllo viene rimosso, l’operatore malevolo può comunque recuperare il controllo del malware inviando messaggi Sms direttamente ai dispositivi infetti. Ciò rende molto più difficile la rimozione e il recupero della rete e rappresenta una sfida considerevole per chi dovrà elaborare un sistema di difesa.

(Fonte: Cyber Affairs)