Questo articolo è stato pubblicato da questo sito
Gli enti governativi europei finiscono (ancora una volta) nel mirino del phishing di cybercriminali internazionali. Secondo quanto riportato dai ricercatori dell’azienda di sicurezza Check Point, a partire dallo scorso dicembre un gruppo di cracker filocinesi ha preso di mira ambasciate e ministeri degli Affari Esteri in Regno Unito, Francia, Svezia, Ucraina, Repubblica Ceca, Ungheria e Slovacchia, attaccandoli con la campagna di phishing “SmugX”. Per riuscire a far cadere le vittime nella loro trappola, hanno utilizzato documenti esca di carattere diplomatico, il cui contenuto era spesso correlato alla Cina: una lettera dell’ambasciata serba a Budapest, un articolo su due avvocati cinesi per i diritti umani condannati a più di dieci anni di carcere e via dicendo.
Più nel dettaglio, i ricercatori di Check Point hanno notato che gli attacchi SmugX si basano essenzialmente su “due principali catene di infezione, entrambe originate da un file HTML” contenuto all’interno del documento esca inviato alla vittima. La prima delle due, a quanto pare, “contrabbanda” un archivio zip con un file dannoso che esegue PowerShell all’avvio, per estrarre un archivio e salvarlo nella directory temporanea di Windows. Una mossa abile da parte dei cybercriminali, che inseriscono all’interno dell’archivio il trojan di accesso remoto PlugX, che gli permette così di mettere le mani sui dati custoditi all’interno del dispositivo della vittima.
Nella seconda “catena di infezione”, invece, l’HTML viene utilizzato per scaricare un file JavaScript che, una volta eseguito, a sua volta “scarica ed esegue un file MSI dal server degli aggressori”. In questo modo gli hacker riescano a infettare il dispositivo della vittima con il malware PlugX, che permette ai criminali di “svolgere una serie di attività dannose sui sistemi compromessi”, tra cui il furto di file, l’acquisizione illecita delle schermate, la registrazione delle sequenze di tasti e persino l’esecuzione di comandi sui dispositivi colpiti.
E sarebbe stato proprio il malware a permettere ai ricercatori di ricondurre gli hacker alla sfera cinese, dove PlugX è utilizzato già dal 2008. Ma al di là della tecnica usata per colpire gli enti governativi europei, quello che davvero dovrebbe metterci in allerta è che gruppi filocinesi stanno cominciando a interessarsi sempre più frequentemente agli obiettivi del nostro continente, con una propensione evidente allo spionaggio.
