Attenzione ai cyber-passeggeri ciechi
Durante un'analisi del pericoloso Trojan bancario "Lurk", Kaspersky Lab ha scoperto un metodo perfido che i criminali informatici possono utilizzare per installare software dannoso sui computer aziendali. Durante il download del software di manutenzione remota legittimo "Ammyy Admin", popolare tra gli amministratori di sistema, il malware Lurk è stato segretamente incluso e installato.
La banda Lurk è stata arrestata in Russia nel giugno 2016. Gli esperti di Kaspersky Lab hanno scoperto che il Trojan Lurk era incluso nel download dello strumento di accesso remoto Ammyy Admin, popolare tra gli amministratori IT. L'intenzione è quella di fare questo: Sebbene alcune soluzioni di sicurezza informatica classifichino gli strumenti con capacità di accesso remoto come pericolosi, gli utenti o gli amministratori di sistema tendono a ignorare il relativo messaggio di avviso perché ritengono che si tratti di un falso positivo. La cosa pericolosa è che nel caso di Lurk, il malware viene caricato e installato nel sistema senza essere notato, nonostante il messaggio di avvertimento.
"L'utilizzo di software legittimi è una tecnica molto efficace per diffondere il malware", afferma Vasily Berdnikov, analista malware di Kaspersky Lab. "Così facendo, i criminali informatici danno all'utente l'impressione che si tratti di un software legittimo e quindi sicuro. Se si scarica e si installa un software da un fornitore noto, non si pensa al fatto che un cyber-passatore cieco potrebbe essere lì. I criminali informatici utilizzano questo metodo per facilitare l'accesso ai loro obiettivi e aumentare il numero di vittime".
Diffusione mirata
Kaspersky Lab ipotizza che il Trojan Lurk sia stato diffuso tramite il sito web ammyy.com a partire da febbraio 2016. Gli aggressori hanno probabilmente sfruttato le vulnerabilità nel sistema di sicurezza del sito web di Ammyy admin e hanno introdotto il malware nell'archivio di installazione del programma di accesso remoto. Gli operatori del sito web sono stati avvisati da Kaspersky Lab subito dopo la scoperta; la vulnerabilità è stata quindi immediatamente risolta.
Nell'aprile 2016, un'altra versione del Trojan Lurk è stata scoperta sul sito web di Ammyy. Questa versione leggermente modificata del malware era in grado di verificare automaticamente se un computer apparteneva a una rete aziendale. Il malware veniva consegnato solo se si trattava di un computer aziendale, quindi molto mirato.
Per prevenire tali rischi informatici, i fornitori di servizi IT dovrebbero controllare regolarmente la propria organizzazione per individuare eventuali vulnerabilità, sempre in concomitanza con l'implementazione di una soluzione di sicurezza IT.
Testo: Kaspersky Lab/essential media GmbH
