Il ritorno di Nemucod: intercettata dai ricercatori di ESET una nuova campagna che diffonde la backdoor Kovter

I ricercatori ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno individuato una nuova ondata di Nemucod, il trojan downloader già utilizzato in diverse importanti campagne del 2016. Questo pericoloso malware ha registrato durante lo scorso Marzo in Italia un picco di infezioni del 37%, mentre a livello globale questa percentuale ha superato il 50%. In passato lo scopo principale di Nemucod era quello di distribuire delle particolari famiglie di ransomware, molto spesso Locky o l’ormai superato Teslacrypt. Nell’ultima campagna rilevata dai sistemi ESET, Nemucod tenta invece di diffondere una backdoor chiamata Kovter, che genera click sulle pubblicità.

Come una classica backdoor, questo trojan permette al criminale di prendere il controllo delle macchine da remoto senza che la vittima gli dia il consenso o se ne accorga. La variante analizzata dai ricercatori ESET presenta delle funzionalità per il click automatico sugli annunci pubblicitari che vengono effettuati grazie a un browser incorporato. Questo trojan può attivare fino a 30 processi del browser contemporaneamente, ognuno dei quali si collega a un sito web per cliccare sugli annunci pubblicitari. Il numero di questi processi (threads) può cambiare a seconda dei comandi inviati dal criminale, ma può anche modificarsi automaticamente in base al livello delle prestazioni del computer rilevate da Kovter. Se il computer è in uno stato di inattività, il malware potrà assegnare più risorse alle sue attività, riducendole quando rileva attività da parte dell’utente.

Come per le altre versioni di Nemucod, quella attuale distribuisce Kovter diffondendosi come allegato ZIP di una email che si presenta come una fattura e che contiene un file eseguibile Javascript infetto. Se l’utente cade nella trappola ed esegue il file infetto da Nemucod, questo scarica e avvia Kovter nella macchina.

Gli esperti di sicurezza di ESET rinnovano l’invito a rispettare le regole generali per la sicurezza su Internet e aggiungono alcuni specifici suggerimenti da seguire per evitare di essere infettati dalla nuova ondata di Nemucod:

• Se il client email o server di posta permettono il blocco degli allegati a seconda delle estensioni, bloccare le email inviate con allegati .EXE, *.BAT, *.CMD, *.SCR e *.JS.
• Assicurarsi che il sistema operativo sul proprio PC mostri tutte le estensioni dei file. Ciò aiuta a identificare la natura esatta dei file nel caso in cui abbia una doppia estensione di cui una nascosta (es. “INVOICE.PDF.EXE” non verrà mostrato come “INVOICE.PDF”).
• Se spesso e legittimamente si ricevono file di questo tipo, verificare chi sia il mittente e in caso ci sia qualcosa di sospetto, controllare il messaggio e i suoi allegati con una soluzione di sicurezza efficace.