Il nuovo malware SystemBC individuato in circolazione aiuta altri ceppi di malware a bypassare i firewall e nascondere il traffico dannoso.
Vedi anche
- 10 pericolose vulnerabilità delle app a cui prestare attenzione (PDF gratuito)
Un nuovo ceppo di malware che prende di mira i sistemi Windows sta facendo capolino. Denominato SystemBC, questo malware installa un proxy sui computer infetti.
La cattiva notizia è che SystemBC non arriva mai da solo e, di solito, la presenza di questo malware indica che anche un computer è stato infettato da una seconda minaccia.
Ricercatori di Proofpoint, che ha recentemente analizzato il malware, affermano che i suoi creatori lo pubblicizzano nei forum clandestini di criminalità informatica ad altri autori di malware.
Il malware SystemBC è effettivamente un componente proxy su richiesta che altri operatori di malware possono integrare e distribuire su computer compromessi insieme al loro ceppo primario.
Il ruolo principale di SystemBC è creare un server proxy SOCKS5 attraverso il quale gli altri malware possono creare un tunnel per aggirare i malware locali firewall, aggira i filtri dei contenuti Internet o si connette al suo server di comando e controllo senza rivelare il suo reale IP indirizzo.
SystemBC venduto ad altri operatori di malware
I ricercatori di Proofpoint hanno affermato di aver identificato un annuncio su un forum di hacking per un ceppo di malware senza nome sembra essere SystemBC, datato inizio aprile, circa un mese prima che il malware venisse visto per la prima volta in linea, a maggio.
L'annuncio include immagini del backend SystemBC, attraverso il quale altri operatori di malware possono elencare le installazioni attive, aggiornare il malware sui computer degli utenti o configurare l'IP finale a cui il malware inoltra il traffico dagli infetti ospiti.
Sebbene inizialmente il malware sia stato rilevato in alcune campagne isolate, i ricercatori di Proofpoint affermano di averlo visto negli ultimi due mesi distribuito tramite kit di exploit, come RIG e Fallout.
I kit di exploit sono sistemi basati sul Web che sfruttano le vulnerabilità del browser per impiantare malware sugli utenti computer o reindirizzare gli utenti a pagine Web che inducono gli utenti a installare app contenenti malware loro stessi.
Secondo Proofpoint, ad esempio, gli operatori del trojan bancario DanaBot e del ransomware Maze sembrano esserlo hanno utilizzato kit di exploit per infettare gli host e quindi le capacità di proxy di SystemBC per nascondere i propri attacchi dannosi traffico.
Problemi nel rilevamento delle infezioni da malware
Grazie alla sua capacità di mascherare il traffico di rete dannoso generato da altri malware, SystemBC è destinato a diventare ancora più popolare col passare del tempo.
Inoltre, secondo il team di Proofpoint, SystemBC creerà anche "nuove sfide per i difensori che si affidano al rilevamento dei confini della rete per intercettare e mitigare minacce come i trojan bancari".
In ogni caso, il punto principale è che se mai vedi un rilevamento di SystemBC, significa che c'è un secondo ceppo di malware sul tuo PC e la rimozione di SystemBC non risolverà i tuoi problemi.
Il malware APT (sviluppato dallo stato) più famoso e pericoloso al mondo
Copertura correlata a malware e criminalità informatica:
- Il governatore della Louisiana dichiara l’emergenza statale dopo l’epidemia di ransomware locale
- Lo sviluppo si interrompe sulla struttura Empire dopo che il progetto ha raggiunto il suo obiettivo
- Avviso di grave violazione delle carte in Corea del Sud
- L’incidente del ransomware lascia alcuni residenti di Johannesburg senza elettricità
- Arrestato un uomo di Bradford per un'attività di hacking alla Lancaster University
- Il progetto No More Ransom ha impedito profitti da ransomware per almeno 108 milioni di dollari
- Il malware rimane nelle PMI per una media di 800 giorni prima di essere scopertoTechRepublic
- I sindaci degli Stati Uniti decidono di non pagare gli hacker per gli attacchi ransomwareCNET