Un nuovo malware bancario, chiamato Silent Night, sta colpendo le mail di migliaia di utenti, in particolare persone in difficoltà a causa della pandemia da COVID-19, come riporta un’analisi di IBM e FireEye di marzo 2020. Il malware ha fatto la sua prima apparizione alla fine dello scorso anno e, al momento, sembra stia colpendo soprattutto i cittadini di Stati Uniti, Canada e Australia, ma con lo scoppio della pandemia le campagne di phishing sono aumentate in maniera esponenziale un po’ ovunque e, secondo il governo statunitense, il numero di mail recapitate tenderà ad aumentare significativamente nel prossimo futuro.
Il malware ha una struttura piuttosto complessa, ma a colpire è soprattutto la modalità con cui i suoi sviluppatori lo propongono sul mercato illegale. Silent Night infatti viene offerto come MaaS (Malware-as-a-Service), una soluzione a basso costo (per gli standard del settore almeno), che permette a malintenzionati non particolarmente esperti di essere immediatamente operativi ed avere una piattaforma efficiente che eviti problemi di sorta, garantendo entrate costanti.
Una peculiarità del nuovo trojan bancario riguarda l’offuscatore, studiato ad hoc per il nuovo malware, in grado di criptare tutte le stringhe ed i valori costanti, modificando l’intero codice e generandone quindi uno nuovo ad ogni utilizzo. L’output che ne consegue è un codice estremamente confuso e senza impatto significativo sulle prestazioni, impossibile da individuare perché ogni tipo di firma digitale può essere “cancellata con un click”.
Per il resto il malware funziona come tutte le alte campagne di phishing: la vittima cioè riceve una mail con un file Word (o più recentemente Excel o uno script VBS) in allegato che viene descritto come modulo da compilare per l’erogazione di un contributo statale. Una volta aperto il file viene eseguita un’istanza che scarica il bot Silent Night da un server C2 o da un file locale e lo inietta nell’istanza in questione. A questo punto, il malintenzionato può eseguire i comandi direttamente da remoto, lasciando ignara la vittima, estraendo dati bancari sensibili, come numero di conto corrente, IBAN o password in caso di accesso al sito della propria banca da parte della vittima, oltre ad avere a disposizione una funzionalità che gli permette di estrarre file, password diverse e cookie direttamente da remoto.
Il consiglio dunque è sempre lo stesso: essere estremamente prudenti e usare il buon senso, non precipitandosi ad aprire qualsiasi mail e a scaricare o eseguire qualsiasi allegato, soprattutto se non avete effettuato alcuna domanda o acquisto. Controllate invece sempre accuratamente la provenienza della mail, il linguaggio utilizzato e, soprattutto, gli indirizzi. Basta infatti passare il mouse su un link, senza cliccare, per visualizzare l’indirizzo corrispondente, che ricorderà quello reale che si propone di imitare, ma a cui aggiungerà inevitabilmente parti estranee, che indirizzano a server appositi.
Articolo Precedente
Udoo Bolt Gear, mini PC economico e tutto italiano
Articolo Successivo
Immuni: problemi a installare l’app? Facciamo chiarezza sui requisiti minimi
