3 nuovi infostealer da tenere d’occhio quest’anno

Gli Infostealers non sono un argomento nuovo per noi sul nostro blog. In passato, abbiamo affrontato il modo in cui gli attori li utilizzano per rubare informazioni sensibili e come sia sempre più facile per i criminali sfruttare quei dati rubati per creare caos sia per individui che per aziende. Ultimamente, abbiamo anche trattato alcuni dei servizi di abilitazione utilizzati in concomitanza con gli infostealer, come gli install brokers, per diffondere malware su larga scala.

SpyCloud Labs monitora da vicino lo spazio del malware infostealer perché è stato un fattore in crescita nella criminalità informatica dall’adozione diffusa del malware come servizio (MaaS) nel 2018 e nel 2019, che è esploso nell’uso durante la pandemia. Le nostre ultime ricerche evidenziano questa crescita: in media, ogni utente internet ha circa il 20% di probabilità di essere già stato vittima di un’infezione da infostealer. Inoltre, gli infostealer recenti presentano più funzionalità rispetto ai loro predecessori, inclusa la capacità di sconfiggere o aggirare l’autenticazione multi-fattore (MFA), rubare i file degli utenti e catturare informazioni finanziarie.

A tal fine, abbiamo aggiunto tre nuove famiglie di infostealer per Windows al nostro repository di dati recuperati nei mesi scorsi:

– Xehook Stealer
– Meduza Stealer
– Elusive Stealer

Ecco cosa dovresti sapere su ognuno di essi.

Xehook

Il  Xehook Stealer è una minaccia emergente che mira alle informazioni finanziarie, concentrato nel rubare le credenziali bancarie, le chiavi private delle criptovalute e altre informazioni personali. Xehook condivide parte della sua base di codice con il MaaS open-source Cinoshi, e altri ricercatori hanno ipotizzato che possa essere gestito dallo stesso team dietro l’Agniane Stealer. Essendo un nuovo infostealer scoperto nel gennaio 2024, Xehook potrebbe beneficiare della mancanza di capacità di rilevamento, consentendogli di eludere i software anti-malware.

Xehook è notevolmente più economico rispetto a molti dei suoi concorrenti, pubblicizzando una tariffa mensile di soli $50 rispetto ai concorrenti che addebitano più di $150 o $200 per una sottoscrizione mensile.

Introdotto per la prima volta dallo sviluppatore di LummaC2, Xehook afferma di essere dotato della capacità di rigenerare i cookie di autenticazione di Google e supporta altre funzioni comuni, inclusi il completamento automatico e il furto di carte di credito salvate. SpyCloud Labs ha osservato che Xehook viene distribuito in piccole ma costanti quantità attraverso i broker di installazione.

Meduza

Con la crescente popolarità del gioco online, i criminali informatici hanno trovato una nicchia redditizia da sfruttare. Il Meduza Stealer è un altro nuovo infostealer che è stato osservato dai laboratori SpyCloud mentre mirava alle piattaforme di gioco online. Meduza è emerso sulla scena nell’estate del 2023 con diverse campagne che sfruttavano esche legate al gioco, catturando le credenziali di accesso e gli acquisti in-game, che vengono poi venduti sul dark web.

Sulla base dell’analisi dei recenti log effettuata dai laboratori SpyCloud, sembra che Meduza venga comunemente distribuito attraverso cheat, skin online e versioni crackate di giochi popolari come Counter Strike 2 e Fortnite. I canali di distribuzione ufficiali di Meduza sono attivamente mantenuti, con diversi aggiornamenti recenti al malware rilasciati nelle ultime settimane. Questo potrebbe suggerire una vita più lunga per Meduza rispetto ad altri infostealer, poiché il malware che riceve aggiornamenti frequenti tende ad essere preferito dai criminali in quanto è più probabile che si mantenga al passo con le nuove tecniche.

Meduza viene venduto tramite Telegram così come diversi forum hacker di lingua russa come XSS ed Exploit, e offre piani che vanno dai $199 per una sottoscrizione mensile ai $1,199 per l’accesso a vita, al momento della stesura di questo testo.

Elusive

Fedele al suo nome, l’ Elusive Stealer è una minaccia silenziosa che si è dimostrata difficile da individuare e mitigare. Questo infostealer utilizza tecniche avanzate di crittografia per proteggere le sue attività, rendendo difficile per le misure di sicurezza tradizionali individuarlo.

Da notare, Elusive include anche funzioni per rubare foto da un dispositivo infetto, una scelta insolita per uno stealer a causa delle dimensioni delle foto e della mancanza di informazioni facilmente monetizzabili contenute al loro interno. A parte la novità, gli infostealer che mirano alle foto di un utente presentano un rischio aggiuntivo di esposizione per la vittima, dato il carattere spesso personale delle foto salvate sul dispositivo dell’utente.

Dei tre, Elusive è lo stealer nuovo meno attivo rilevato dai laboratori SpyCloud, ed è ancora da vedere se Elusive guadagnerà terreno nella comunità MaaS o si spegnerà come decine di altri stealers di breve durata, come 420Stealer, Collector Project o Coronarecovery.

Riduci il rischio con queste contromisure contro il malware infostealer

Poiché gli infostealer continuano a evolversi e rappresentano rischi significativi, è fondamentale rafforzare le misure di sicurezza informatica che hai in atto per proteggere i dispositivi, le identità digitali e le informazioni sensibili. Ecco alcune contromisure che consigliamo di implementare per prevenire e rimediare alle esposizioni al malware, che proteggeranno la tua organizzazione da attacchi successivi come l’hijacking delle sessioni e il ransomware:

1. Implementa un buon programma antivirus.
2. Applica l’autenticazione avanzata tramite MFA e passkeys.
3. Implementa politiche di scadenza e invalidazione dei cookie.
4. Assicurati di avere un controllo completo sui tuoi dispositivi e reti, inclusa una rigorosa politica di bring-your-own-device (BYOD).
5. Monitora continuamente le esposizioni al malware nel mondo criminale sotterraneo
6. Quando viene rilevata un’esposizione al malware, assicurati di isolare, immagazzinare e formattare il dispositivo, se accessibile, e:
– Reimposta le password e gli username per le applicazioni interessate.
– Invalida le sessioni web dell’utente per prevenire l’hijacking delle sessioni.
– Rivedi tutti i log di attività e accesso dell’utente all’interno delle applicazioni interessate per confermare che l’attività rilevata provenga dalle gamme di indirizzi IP e dalle geografie attese e che tutti i comportamenti corrispondano al profilo previsto dell’utente.

SpyCloud Labs tiene stretto il polso sul mondo criminale e aggiunge nuove famiglie di malware man mano che emergono.

Articolo originale

Richiedi una demo

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI