Lanciato dallo stesso team di DarkHotel è stato scovato dai ricercatori di Bitdefender. Ecco come funziona
L’agenzia di sicurezza Bitdefender ha scovato, Inexsmar, un malware che prende di mira principalmente politici e alte cariche aziendali. A quanto pare a lanciarlo è stato lo stesso gruppo dietro DarkHotel, una minaccia risalente a diversi anni fa che sfruttava la presenza della vittima sulla stessa rete Wi-Fi dell’aggressore, spesso quella di un hotel appunto. Oltre a operare in questo modo, il nuovo virus mette in atto pratiche più avanzate, come lo spear phishing, per ingannare l’utente e spingerlo ad aprire un file o a cliccare su un indirizzo maligno. Una tecnica del genere è valida ancora oggi? Purtroppo si, soprattutto quando i criminali lanciano offensive studiate appositamente per far cadere nella trappola figure specifiche. Lo spear phishing si basa infatti su un messaggio di posta inviato da un indirizzo email genuino, un conoscente del destinatario, all’interno del quale vi sono elementi di una comunicazione reale o che sembra tale. Il passo successivo è stato inserire un allegato vero (un pdf ad esempio) che si apre senza problemi ma che al contempo avvia il processo di installazione del malware sulla macchina.
Cosa succede
“Quando si clicca sul file – spiegano da Bitdefender – l’allegato mostra un documento valido così da non creare sospetti. Al contempo però Inexsmar si insidia nel sistema in background. La principale differenza con DarkHotel è questa: l’hacker può agire sia sullo stesso Wi-Fi che in remoto, utilizzando tecniche di abbordaggio conosciute”. Stando alle analisi dell’agenzia di sicurezza, a girare con il virus è il file Pyongyang Directory Group email SEPTEMBER 2016 RC_Office_Coordination_Associate.docx, ma è evidente che i criminali possano sostituirlo velocemente con un altro nel momento in cui la conoscenza della minaccia si diffonderà maggiormente. Un ulteriore caratteristica è che se il malware riconosce che il computer da infettare non contiene informazioni rilevanti lascia perdere, non prosegue e smette di funzionare. In caso contrario contatta il server C2 per avviare il payload. Un chiaro segnale della volontà di puntare solo determinati utenti e non chiunque cada sotto tiro. Questo documento di Bitdefender approfondisce meglio la questione.