Pubblicato questa mattina un comunicato di AgID, che avverte: “Il cybercrime potrebbe attaccare l’Italia con MassLogger nel prossimo futuro. E’ l’allarme lanciato dagli esperti di cyber security del CERT-AgID. Il malware è un infostealer e keylogger, recentemente apparso nel vasto panorama dei codici malevoli in circolazione. Scritto in .NET, la sua modalità di funzionamento ricorda da vicino quella di AgentTesla. Al momento, non risulta essere stato usato in campagne su obiettivi nel nostro paese ma, poiché è acquistabile a buon mercato (disponibile a 45$ per una licenza a vita, ma il prezzo può scendere fino a 25$), non è difficile ipotizzare il suo utilizzo nel prossimo futuro anche nello scenario italiano. Di conseguenza, i ricercatori gli dedicano una particolare attenzione e monitorano costantemente i suoi trend e le sue evoluzioni.
Gli esperti di cyber security hanno analizzato il codice, un infostealer e keylogger, per capire il suo comportamento e le funzionalità
Secondo gli esperti di cyber security non si trovano in circolazione vere analisi su MassLogger. Comunque, è possibile riscontrare principalmente immagini di dump delle stringhe o delle connessioni dello stesso malware. Il campione analizzato era contenuto all’interno di due packer .NET, che utilizzano tecniche comuni per l’occultazione del proprio payload (in questo caso si trattava di dati codificati nelle risorse immagine) e che non presentano difficoltà particolari riguardo al recupero dell’assembly .NET finale.
Il primo ha le risorse contenenti il payload finale (e un assembly secondario per la decodifica dell’altro packer), ma è il secondo che ne esegue l’estrazione. Il codice malevolo del cybercrime, tra le altre cose, recupera informazioni generiche dal computer (processi, scheda grafica, prodotti AV, nome OS, memoria, IP, uptime e simili), trafuga le credenziali di vari programmi e può fare screenshot sulle finestre con determinati titoli.”
https://cert-agid.gov.it/wp-content/uploads/2020/06/CERT-AGID_MassLogger-20200609.pdf