I ricercatori di Cisco Tales hanno individuato una nuova minaccia. Si tratta di una variante di Masslogger, un trojan per sistemi Windows che è stato rilevato in Italia, Turchia, Lettonia, Bulgaria, Lituania, Ungheria, Estonia, Romania e Spagna. Per eludere i sistemi di rilevamendo, Masslogger sfrutta un approccio a più livelli: l’attacco inizia con un messaggio contenente un oggetto che sembra riferirsi a un’azienda e l’e-mail contiene un allegato .RAR, che si espande successivamente in file con estensione del nome del file diversa (CHM).
In questo modo l’e-mail elude i controlli di sicurezza che monitorano proprio l’estensione del file. Il file CHM è un file che contiene del codice JavaScript che serve proprio per avviare il processo di infezione: lo script in realtà è un downloader che installa il loader malevolo.
I dati sottratti vengono poi inviati agli attaccanti usando uno o più di questi canali:
- FTP, in modalità plain text, sfruttando la porta predefinita (21)
- HTTP: usando un pannello di controllo basato su PHP
- SMPT
