Un nuovo malware si nasconde nel registro eventi di Windows

Kaspersky Lab, azienda che opera nel settore della sicurezza informatica, ha pubblicato una nota sul proprio sito dove afferma di aver scoperto un nuovo malware.

Il primo attacco risalirebbe a settembre 2021, e la campagna malware sarebbe stata soprannominata «SilentBreak» a causa di uno degli strumenti più utilizzati dagli hacker.

Gli hacker sono stati in grado di rendere pressoché invisibile il malware alla scansione degli antivirus per Windows, rendendolo ancora più minaccioso.

La strategia di questo trojan si basa sul nascondersi all’interno del registro eventi di Windows sotto forma di shellcode, per poi introdursi nei sistemi dei malcapitati dopo essere stato scaricato ed eseguito.

leggi anche

Malware: cosa sono, come riconoscerli e rimuoverli

I principali metodi di diffusione di questo malware sono due, il metodo su rete HTTP e Named-Based Pipes Trojan.

Nel primo metodo il file dannoso prende di mira i file di sistema di Windows, nascondendo un pezzo di malware e creando un duplicato di un file esistente con «1.1» aggiunto alla stringa, che si presume sia la versione dannosa di un file.

Il secondo metodo invece individua la libreria del modulo Microsoft Help Data Services all’interno dei file del sistema operativo Windows e quindi acquisisce un file esistente per sovrascriverlo con una versione di malware in grado di eseguire una stringa di comandi.

Una volta eseguita la versione dannosa, il dispositivo della vittima viene infettato.

Come evitare di farsi cogliere impreparati

Mentre i metodi utilizzati dagli hacker continuano a diventare più difficili da rilevare, è più importante che mai garantire la sicurezza dei dispositivi.

La responsabilità della protezione dei dispositivi coinvolge sia il team IT sia il singolo utente di un dispositivo Windows. Impiegando ad esempio un’architettura zero-trust, è possibile arginare il rischio di essere colpiti e prevenendo la perdita di dati sensibili e informazioni personali