Sta girando un nuovo malware spia: colpisce grandi aziende ma anche privati per rubare dati, ecco come difendersi.
L’allarme è partito dagli Stati Uniti, ma ci sono già state molte segnalazioni anche dalla Germania.Sta girando un nuovo malware spia: colpisce senza fare alcun tipo di distinzione, purtroppo, si chiama TA886 ed un nuovo malware screenshotter, cioè un programma spyware in grado di fotografare i dati che vengono immessi (password, codici, contenuti personali) sul computer o sul telefono attraverso la schermata principale.
Pare che il malware spia abbia già colpito numerose organizzazioni e aziende attraverso una metodologia assai particolare. Gli esperti di cybersecurity sono stati avvertiti ed ormai parlano di una nuova generazione di virus. TA886 è stato scoperto da Proofpoint lo scorso ottobre e da allora non si è più fermato. Il 2023 potrebbe essere l’anno della sua esplosione in tutto il mondo come minaccia informatica principale.
L’autore di questo malware, a quanto pare, segue una strategia fissa: invia per posta elettronica alcuni allegati con estensione .pub (cioè un file Microsoft Publisher). Aprire il file significa permettere al malware di attivarsi.
A quel punto TA886 comincia a registrare tutte le azioni compiute dall’utente, per capirne le abitudini. Lo spionaggio ha durata variabile. Appena il malware spia capisce di poter rubare i dati più interessanti parte con gli screen.
Come funziona il malware spia screenshotter
TA886 non agisce dunque indiscriminatamente, ma valuta le vittime e il loro comportamento informatico prima di iniziare con il furto dei dati. In pratica, l’autore della minaccia procede solo se l’attacco gli può portare abbastanza soldi.
L’utente-vittima riceve un’ mail di phishing, dove troviamo un allegato Microsoft Publisher (.pub) oppure un collegamento a un file .pub da scaricare o a un pdf. Aprendo i file si attiva un sub-file in JavaScript.
Anche se non si scarica l’allegato basta collegarsi a uno dei link per essere attaccati. Una volta lanciato, il malware comincia a scattare foto. Poi tutti gli screenshot in JPG sono inviati all’autore del malware spia.
I dati vengono rubati tramite un rhadamanthys. Si tratta di un malware che riesce a entrare in conti bancari, a copiare credenziali e cookie di criptovaluta, account e client di posta elettronica.
Ma chi è l’autore che si cela dietro TA886? Pare che possa essere un hacker russo. Tale informazione deriva dal fatto che gli screenshot vengono spesso rinominati con parole slave.