McAfee individua nuovi malware nel contesto di una massiccia operazione di spionaggio che ha preso di mira aziende che operano in vari comparti strategici. Attraverso un documento Word infettato sono stati colpiti i settori Difesa, Finanza, nucleare ed energia. La ricerca ha portata alla luce un attacco gigantesco che ha coinvolto sia gli Stati Uniti che buona parte dell’Europa per un’azione ora ribattezzata Operation Sharpshooter.
Sicurezza addio: malware colpiscono aziende e settori importanti
I virus per smartphone Android non sono gli unici a mietere inconsapevoli vittime tanto è vero che i malware si possono benissimo diffondere attraverso un semplice documento editato con Microsoft Word. Lo studio condotto da McAfee Advanced Threat Research insieme a McAfee Labs Malware Operations Group ha infatti evidenziato un nuovo sistema di attacco.
Il nome dato a questa nuova minaccia è Operation Sharpshooter, il che riassume soltanto la prima fase dell’azione criminosa del sistema. Si svolge in due momenti. Nel primo si infetta la memoria e nel secondo si completa l’attacco tramite l’attivazione del cosiddetto Rising Sun. Si manifestano così parti di codice di un trojan risalente al 2015 (codice Duuzer) create dal famoso Lazarus Group.
I tecnici di McAfee suggeriscono di usare estrema prudenza contro i documenti infetti. I malfattori usano questi file per raccogliere informazioni all’interno delle aziende dietro la promessa di campagne di assunzione che si rivelano solo un modo per prendere di mira soggetti specifici con azioni mirate.
Malware in azienda: chi è stato coinvolto
Secondo il rapporto d’infezione pare che tra ottobre e novembre 2018 vi siano state 87 aziende attaccate dal malware. Avviene soprattutto negli Stati Uniti ma anche l’Europa ne viene coinvolta insieme alla Russia e ad altre estesa aree del pianeta. Il settore più colpito è quello delle telecomunicazioni, sebbene si osservi il coinvolgimento diretto di altri comparti, tra cui quello della Difesa e del nucleare.
La scoperta è solo l’ultimo esempio di un sistema che purtroppo funziona e continua a mietere vittime. I tecnici commentano così la scoperta:
“Il malware agisce in diverse fasi. Il vettore iniziale è un documento che contiene una macro, il cui scopo è scaricare la fase successiva, che viene eseguita in memoria e raccoglie informazioni. I dati della vittima vengono spediti al server di controllo affinché gli autori possano controllarli e determinare i passi successivi”
Gli analisti non hanno mai visto nulla di simile e temono si possa trattare solo di un attacco di sperimentazione che potrebbe cedere il posto a qualcosa di peggiore. Il documento completo approfondisce la questione entrando nel dettaglio.