Malware terrificante per gli utenti: tra i più pericolosi finora

Il 2022, ahinoi, sta mantenendo fede alle promesse evidenziate dagli analisti che vedono nell’anno in corso più attacchi hacker rispetto a un 2021 da record. A far impennare i numeri, un malware capace di fare sfracelli.

Lo dice Check Point Research: FormBook attualmente è il malware più utilizzato dai cyber criminali, di gran lunga più di Emotet che aveva occupato la prima posizione da gennaio. Più anche di Joker, il cui ritorno preoccupa. E non poco.

Malware - Cellulari.it 20220919
Malware – Cellulari.it

FormBook è un sofisticato malware di infostealer con tecniche di evasione avanzate. Offusca il suo carico utile iniziale e si inserisce nei processi legittimi per nascondersi dal rilevamento e complicare il processo di rimozione.

In Italia è preceduto da Blindingcan

Il malware utilizza varie tecniche per infettare i computer e sottrarre loro informazioni sensibili. Viene offerto come Malware-as-a-Service (MaaS) nel dark web ad un prezzo per di più contenuto. In Italia, peraltro è preceduto da Blindingcan, un RAT (Remote Access Trojan) che utilizza diverse tecniche per eseguire una variante di Hidden Cobra RAT. Alcuni metodi per gestire il rischio.

Joker, c'è un malware che si chiama così - Cellulari.it 20220919
Joker, c’è un malware che si chiama così – Cellulari.it

Formbook è attualmente uno dei malware più diffusi, dunque. È attivo già da più di 5 anni. Check Point ha riferito a dicembre 2020 che Formbook ha colpito il 4% delle organizzazioni in tutto il mondo ed è entrato nella top 3 dei malware più diffusi. Fino al primo posto.

Un malware che continua a raccogliere schermate, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini ricevuti dai server Command-and-Control (C&C). Il codice è scritto in C con inserti di assembly e contiene una serie di trucchi per rendere più difficile l’analisi da parte dei ricercatori.

Eppure doveva essere “un semplice keylogger“. Tuttavia, i clienti hanno immediatamente visto il suo potenziale come strumento universale da utilizzare in ampie campagne di spam rivolte alle organizzazioni di tutto il mondo. Quando questo potenziale è diventato realtà, Formbook è sparito, rinascendo come Loader. Che ha aperto nuove opportunità, con la possibilità di operare in macOS.

Gli abbonati a FormBook acquistano anche un mezzo per distribuire il malware, come incorporarlo in un documento dannoso contenuto in un’e-mail di phishing. Poiché il malware stesso è disaccoppiato dal meccanismo di consegna, FormBook utilizza una varietà di tecniche di infezione, tra cui le e-mail di phishing sono le più comuni. Una volta eseguita l’esecuzione su un sistema infetto, il malware decomprime le sue funzionalità dannose e inietta il suo codice in vari processi. Questo codice utilizza vari hook per accedere a sequenze di tasti, schermate e altre funzioni. Il malware può anche ricevere comandi dal suo operatore per rubare informazioni dai browser o scaricare ed eseguire altro malware.

Come offerta MaaS, il malware FormBook può essere distribuito da vari attori delle minacce. Con molti diversi meccanismi di consegna e attori delle minacce dietro gli attacchi FormBook, individui e organizzazioni in qualsiasi settore verticale potrebbero essere potenzialmente presi di mira dal malware. Insomma, un bel guaio.