Errore Fatale dei Cybercriminali: Quando il Malware Non Funziona Come Dovrebbe

Errore Fatale dei Cybercriminali: Quando il Malware Non Funziona Come Dovrebbe

Introduzione

Le campagne di malware sono tra le minacce più costanti e insidiose nel panorama della cybersecurity. La diffusione di software dannoso è una pratica purtroppo frequente, che colpisce utenti in tutto il mondo. Tuttavia, anche i cybercriminali possono incappare in errori che rendono inefficaci i loro attacchi, come dimostrato da recenti analisi del CERT-AGID.

Le e-mail malevole spesso contengono allegati che dovrebbero compromettere i dispositivi delle vittime. Nonostante l’intenzione, vi sono casi in cui questi allegati non raggiungono il loro scopo a causa di errori nella fase di attivazione del malware. Le distrazioni o una carente integrazione dei servizi MaaS (Malware as a Service) possono portare a tali insuccessi. Questi intoppi possono riguardare la mancanza di componenti cruciali che impediscono l’attivazione dell’intera catena di infezione.

Di recente, è stata segnalata una campagna di phishing di massa in cui il malware non è riuscito a funzionare correttamente perché mancava una stringa essenziale, “FjDyD6U“, necessaria per estrarre e generare il file eseguibile. Sebbene riconosciuto come nocivo dalle sandbox online, il codice in questione non ha generato traffico di rete né è stato possibile assegnargli una famiglia specifica di malware.

Analisi Tecnica

Il file incriminato è scritto in .NET e cifrato usando l’AES. La chiave e l’IV per decifrare il codice sono ottenuti da una sequenza di byte, chiamata smethod_0, che utilizza il delimitatore "X8mnGBm". Questa volta, grazie alla presenza del delimitatore, i ricercatori sono stati in grado di estrarre facilmente le informazioni necessarie.

Tramite l’utilizzo di strumenti come Cyberchef, è stato possibile decifrare le stringhe e ottenere l’eseguibile che viene caricato direttamente in memoria senza lasciare tracce sul disco. Questo malware è riconosciuto come AgentTesla, un infostealer ben noto e attivo che figura tra i dieci più diffusi in Italia già da oltre due anni.

AgentTesla ha mostrato una frequente evoluzione nel suo metodo di caricamento, passando dall’utilizzo di codice memorizzato nelle risorse a tecniche di cifratura avanzate che caricano il payload direttamente in memoria, aumentando la difficoltà di rilevamento e analisi.

Conclusione

Nonostante l’avanzamento tecnologico, gli errori umani rimangono un fattore critico nelle operazioni di cybersecurity. Questi episodi dimostrano che perfino gli attacchi pianificati con cura possono fallire a causa di semplici sviste o errori tecnici. Per gli esperti di sicurezza, è essenziale continuare a monitorare e analizzare queste fallibilità per migliorare le strategie di difesa e di risposta agli attacchi informatici. L’evoluzione di malware come AgentTesla sottolinea inoltre la necessità di investire in soluzioni avanzate per la rilevazione e la neutralizzazione di minacce sempre più sofisticate.

Cyber Net Now

Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.

CATEGORIES
Share This