EyePyramid, Trend Micro spiega come funziona il malware

News
EyePyramid, Trend Micro spiega come funziona il malware

Il vendor di sicurezza Trend Micro spiega gli schemi d’attacco, l’evoluzione del malware nel corso degli anni e la diffusione di EyePyramid in tutto il mondo

EyePyramid è un malware per Windows, ideato per effettuare phishing, che in Italia ha colpito 18mila bersagli per 1800 vittime. Da un punto di vista tecnico, l’origine del malware EyePyramid rimane oscura, come poco chiara ne è l’attribuzione. La chiave di licenza registrata a nome di Giulio Occhionero sembra un indizio esplicito, ma non si capisce perché l’autore di un malware utilizzi tecniche di occultamento per coprire le proprie tracce e poi commetta un errore così grossolano e scarsamente credibile. Inoltre, l’analisi dei dati domain-to-IP ha condotto ad altri indizi, così come l’evoluzione dei Pc impiegati negli anni per aggiornare le versioni del malware.

I laboratori Trend Micro hanno messo sotto la lente circa 250 campioni di malware per fare luce sul caso EyePyramid e scoprire il funzionamento di questo malware che dall’Italia ha afflitto tutto il mondo.

EyePyramid, Trend Micro spiega come funziona il malware
EyePyramid, Trend Micro spiega come funziona il malware

L’analisi Trend Micro sugli schemi d’attacco, l’evoluzione del malware nell’arco degli anni e la sua diffusione in tutto il mondo è disponibile nel blog Trend Micro. I domini attaccati sono numerosi, da Aol a Gmail, da Yahoo a Facebook. La fase di pre-attacco consisteva nel creare un clima di fiducia per poi diffondere la campagna di phishing, mettendo nel mirino account di alto profilo. Il malware originale era in un allegato eseguibile, contrassegnato da .exe. Il picco di EyePyramid’s si è verificato nel 2014, con il triplo di unità rispetto ad ogni altro periodo. Per offuscare sono stati usati Skater .NET e Dotfuscator nel passato, di recente il più potente ConfuserEx. Il malware contiene stringhe rilevanti: come gmail.it, dominio inesistente; il nome del file originale è mfkr.exe, ma la stringa “\Work\EyePyramid\” ha dato nome al caso; l’utilizzo di SpyWorks di Desaware eccetera. Inoltre, il malware conteneva varie componenti software: “iepv\Release\iepv.pdb” è IE Password Viewer, una piccola utility (e library) che può essere usata per rivelare password archiviate da Internet Explorer. Anche la path string “:\projects\vs2005” fornisce un assaggio del modus operandi dell’autore del malware. Sono stati osservati legami con il caso Bisignani del 2011, relativo alla loggia P4. Ecco l’elenco delle funzionalità del malware: MouseKeyboardActivityMonitor, per monitorare le attività di tastiera e mouse e trafugare dati; Internet Explorer Passwords Viewer per rubare credenziali archiviate nel browser; SpyWorks; MailBee per gestire email; SevenZip. EyePyramid cercava di disabilitare protezioni in tempo reale.

– A che punto sei con l’adozione del cloud computing? Partecipa alla nostra inchiesta

Autore: Channelbiz
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore