La società di sicurezza Outpost24 ha individuato un nuovo gruppo di cybercriminali, noto come Unfurling Hemlock, che si distingue per l’utilizzo di un virus che agisce come una “bomba a grappolo”, in grado di scatenare centinaia di virus simultaneamente con un solo attacco.
Nuovo virus “bomba a grappolo”: cos’è e come funziona?
Di recente, la società di sicurezza Outpost24 ha scoperto una nuova cyber minaccia molto pericolosa. Utilizzata da un nuovo gruppo hacker, denominato Unfurling Hemlock, consente di diffondere una grande varietà di file infetti partendo da un singolo virus.
Il virus funziona esattamente come una “bomba a grappolo”. In ambito militare, quando viene lanciata, la bomba a grappolo si apre in aria, rilasciando le submunizioni che detonano al suolo, causando danni su una superficie più ampia. La nuova minaccia simula questo processo.
Gli hacker inducono le vittime ad aprire un documento contenente il virus WeExtract.exe, che si diffonde tramite e-mail dannose o programmi per scaricare software gratuitamente. Il file eseguibile contiene al suo interno altri file nidificati, che a loro volta contengono vari campioni di malware. Una volta eseguito il primo si attivano in sequenza tutti gli altri.
Si stima che con questa nuova tecnica, introdotta dal gruppo hacker nel febbraio 2023, siano stati distribuiti oltre 50 mila file infetti. Secondo gli esperti di sicurezza Outpost24, Unfurling Hemlock ha origine russa, con obiettivi prevalentemente negli Stati Uniti e attività rilevanti anche in Germania e Turchia.
Quali sono i principali virus contenuti nella “bomba a grappolo”?
Redline: progettato principalmente per estrarre credenziali di accesso da browser web e client di posta, raccoglie dati finanziari come informazioni su carte di credito e account bancari. Inoltre, raccoglie anche dettagli del sistema, inclusi informazioni hardware, software e dettagli di rete.
Mystic stealer: è in grado di raccogliere credenziali di accesso da vari programmi e servizi online. È conosciuto anche per la sua capacità di registrare le battute di tastiera degli utenti (keylogging). Cattura informazioni come nomi utente, password e altri dati sensibili.
RisePro: tra le sue principali caratteristiche ci sono la raccolta di dati finanziari sensibili, credenziali di accesso a servizi online e altre informazioni personali. Può essere distribuito attraverso tecniche di ingegneria sociale o sfruttando vulnerabilità nel software.
Amadey: conosciuto per essere una botnet, cioè una rete di dispositivi infettati controllati centralmente dai criminali informatici, può essere utilizzato per rubare informazioni sensibili dai dispositivi infetti e permettere l’accesso remoto non autorizzato ai sistemi compromessi.
Smokeload: può eseguire molte azioni dannose quali il furto di dati sensibili, l’installazione di software dannoso aggiuntivo e la creazione di backdoor nel sistema per consentire l’accesso non autorizzato. SmokeLoad è progettato per essere persistente, rimanendo attivo anche dopo reiterati riavvii del sistema e rendendo difficile la sua rilevazione e rimozione.
Come proteggersi?
Secondo gli specialisti di Outpost24, esistono fino a sette metodi distinti per il lancio del virus “bomba a grappolo”, che variano in base alla strategia di hacking adottata. Gli esperti consigliano di verificare attentamente i file scaricati da Internet, utilizzando antivirus aggiornati prima di aprirli, poiché tutti i malware rilasciati in questa campagna sono ampiamente documentati e riconoscibili dalle firme conosciute.