Un cyber attacco viene portato sfruttando delle vulnerabilità del comportamento umano oppure del software installato, con una logica che ricorda quella dei razzi. Ciascun malware ha due cyber attaccocomponenti: il vettore di penetrazione, che è il mezzo con cui vengono superate le protezioni del sistema, ed il payload, la parte di codice che causa gli effetti malevoli sul sistema. Ciò significa che se il vettore di penetrazione è efficace, tramite lui il cyber criminale può veicolare qualsiasi tipo di minaccia: un ransomware, un miner, un payload che ruba i dati a scopo di estorsione, un sistema di controllo remoto (RAT) o quasiasi altro genere di minaccia.

Un esempio è la scoperta fatta dai ricercatori Kaspersky Lab che hanno rilevato nuovi campioni dannosi della famigerata famiglia di Trojan denominata Trojan-Ransom.Win32.Rakhni. La principale caratteristica di questo malware è che può scegliere come infettare le sue vittime: con un cryptor o con un miner.

ricercatori kasperskySecondo le ricerche di Kaspersky Lab, il malware colpisce preferibilmente realtà aziendali, piuttosto che singoli utenti. Solo nell’ultimo anno, più di 8.000 utenti sono stati attaccati da Trojan-Downloader.Win32.Rakhni Trojans. La distribuzione del malware viene implementata tramite email spam che hanno in allegato dei documenti che contengono un eseguibile malevolo. Quando il file viene aperto, l’eseguibile dannoso viene avviato. È in quel momento che il Trojan decide quale payload deve essere scaricato sul PC della vittima.

ll malware verifica quindi la presenza della directory % AppData% \ Bitcoin, una directory che può essere indicativa dell’archiviazione in locale di un portafoglio digitale in bitcoin.

Secondo i ricercatori di Kaspersky Lab, la presenza di questa directory potrebbe suggerire che le vittime, di questo genere di cyber attacco, saranno disposte ad effettuare dei pagamenti per riavere i loro file, così il Trojan cripta i file della vittima con un cryptor. Questo garantisce all’attaccante un profitto in tempi rapidi. Altrimenti, i cybercriminali cercheranno di “guadagnare” denaro dalla vittima colpita dal Trojan, senza che lui o lei se ne accorga, usando un miner – a condizione che il PC abbia una capacità sufficiente per attività di data mining ad alta intensità.

“Il fatto che il malware possa decidere quale payload utilizzare per colpire le sue vittime è solo un ulteriore esempio delle possibili tattiche usate dai criminali informatici per raggiungere i loro scopi. I cybercriminali cercheranno sempre di trarre dei vantaggi dalle loro vittime: estorcendo il denaro in modo diretto (con un cryptor), usando in modo non autorizzato le risorse dell’utente per i propri scopi (con un miner) o sfruttando la vittima nella catena di distribuzione del malware (net-worm)”, ha commentato Orkhan Mamedov, Malware Analyst di Kaspersky Lab.