Attenzione a STRRAT: arriva via mail, si finge un ransomware, ma ruba dati e password
Il malware, che si diffonde tramite una campagna di phishing, finge di criptare file ma in realtà installa una backdoor per sottrarre dati alla macchina colpita
di Andrea Bai pubblicata il 25 Maggio 2021, alle 09:17 nel canale SicurezzaMicrosoft
I ricercatori di sicurezza Microsoft hanno individuato una campagnia di phishing massiva che sta distribuendo un nuovo malware che imita il comportamento di un ransomware ma in realtà è un trojan il cui obiettivo è quello di installare una backdoor per sottrarre informazioni dal sistema colpito.
STRRAT, questo il nome del malware, viene distribuito tramite una campagna di email phishing sfruttando account di posta elettronica compromessi per inviare messaggi che contengono istruzioni di pagamento, assieme ad un'immagine che si presenta come allegato PDF e contiene informazioni sulla presunta transazione.
Nel momento in cui l'allegato viene aperto, si attiva un collegamento ad un dominio che scarica il malware STRRAT sulla macchina. La nuova versione del malware appare ai ricercatori come molto più sofisticata delle precedenti, mostrando modularità e capacità di offuscamento più avanzate. Le funzionalità però sono le medesime delle versioni precedenti: raccogliere password, registrare la pressione di tasti, eseguire comandi da remoto e altro ancora, nel concreto offrendo all'attaccante il pieno controllo della macchina presa di mira.
Attackers used compromised email accounts to launch the email campaign. The emails contained an image that posed as a PDF attachment but, when opened, connected to a malicious domain to download the STRRAT malware. pic.twitter.com/Gkueq1odRo
— Microsoft Security Intelligence (@MsftSecIntel) May 19, 2021
Una peculiarità interessante è il fatto che durante la sua operatività STRRAT si adopera per aggiungere l'estensione .crimson ai file presenti sul dispositivo, cercando di scimmiottare il comportamento di un ransomware, anche se nessun file viene effettivamente crittografato. E' possibile che questo comportamento sia stato appositamente pensato per depistare l'utente e nascondere il fatto che l'attacco effettivo sia in realtà quello di un trojan per l'accesso remoto.
La campagna sembra essere ancora attiva e, anzi, è altamente probabile che, a fronte del meccanismo d'azione di STRRAT, eventuali sistemi compromessi possano a loro volta essere sfruttati per inviare email di phishing e diffondere ulteriormente il malware.
Fortunatamente le contromisure per evitare la compromissione sono abbastanza semplici da mettere in atto, dato che la diffusione avviene tramite email di phishing. Il principio su cui basare il proprio comportamento sarebbe quello di "trust no one", non fidarsi di nessuno. Quando vediamo un allegato in una mail, pensarci sempre due volte prima di aprirlo, verificare il mittente e come misura di cautela ulteriore contattarlo eventualmente tramite altri canali per avere la conferma che si tratti di un invio legittimo. Infine utilizzare antivirus aggiornati e con protezione in tempo reale, anche per quanto riguarda le email.
Mortal Kombat 1: un nuovo futuro che strizza l'occhio al passato, la rinascita di un mito
Cuffie così non si sono mai sentite: la rivoluzione nel mondo audio dei trasduttori xMEMS
Intel Meteor Lake: arriva l'architettura di nuova generazione
Tutte le offerte Amazon del weekend: centinaia di Euro di sconto reale sui robot pulizie, ma occhio anche a tutte le altre promozioni!
Il migliore per rapporto qualità prezzo: CUBOT X70 12GB/256GB, dual SIM, fotocamera 100Mpixel, 5200mAh oggi è a 194,76€!
Sono disponibili i nuovi access point Omada EAP773 e EAP783 con supporto per il Wi-Fi 7
Visa e Scalapay uniscono le forze per proporre nuove soluzioni di pagamento digitale ai negozianti europei
Razer Axon Create: tu inventa l'illuminazione, ci pensa l'IA a realizzarla!
Game Room: Razer porta l'illuminazione Chroma in tutta la casa con Alexa e Google Assistant
TikTok ha iniziato a integrare le ricerche Google: sempre più motore di ricerca?
Xiaomi svela la nuova serie Redmi Note 13: cam da 200MP, ricarica rapida a 120W e certificazione IP68 
Rivoluzione nella medicina: a Bari il primo intervento chirurgico da remoto al mondo grazie al 5G
Panos Panay, la mente dietro Surface, programmava da tempo la separazione da Microsoft
Steam Deck: un aggiornamento forse nel 2025 se non 2026, i presupposti non lo consentono
La Commissione europea riduce la multa a Intel: da 1 miliardo scende a 376,36 milioni di euro
iPhone 15 e Apple Watch 9: è il Day One! Un'esperienza unica anche il ritiro in Apple Store 
Red Bull Ford Powertrains sceglie Oracle Cloud Infrastructure per lo sviluppo della nuova Power Unit della F1 Red Bull
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infodalla foto SEMBRA un pdf, e solitamente i viewer hanno tutti i referreal esterni bloccati.
quindi le opzioni di sicurezza sarebbe sempre quelle
a meno che abbia invece altre estensioni, ed anche li sarebbe interessante sapere quali e come
dalla foto SEMBRA un pdf, e solitamente i viewer hanno tutti i referreal esterni bloccati.
quindi le opzioni di sicurezza sarebbe sempre quelle
a meno che abbia invece altre estensioni, ed anche li sarebbe interessante sapere quali e come
un allegato anche se ha l'icona pdf o doc non significa che è realmente un pdf o un doc
esatto
il che si ricollega alla seconda casistica da me citata.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".