{"id":26204,"date":"2021-12-21T10:43:55","date_gmt":"2021-12-21T08:43:55","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=26204"},"modified":"2021-12-21T10:43:55","modified_gmt":"2021-12-21T08:43:55","slug":"pseudomanuscrypt-industrial-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/pseudomanuscrypt-industrial-malware\/26204\/","title":{"rendered":"Attacco non standard di PseudoManuscrypt"},"content":{"rendered":"

Nel giugno 2021, i nostri specialisti hanno scoperto un nuovo malware chiamato PseudoManuscrypt. Il modus operandi di PseudoManuscrypt \u00e8 abbastanza simile a quello di uno spyware. Funziona come un keylogger e pu\u00f2 raccogliere informazioni sulle connessioni VPN stabilite e le password salvate, rubare i contenuti della funzione Appunti, registrare il suono usando il microfono integrato (se il computer ne ha uno) e catturare immagini. Una sua variante pu\u00f2 anche rubare le credenziali dei servizi di messaggistica QQ e WeChat, catturare video dello schermo e possiede una funzione che pu\u00f2 disabilitare le soluzioni di sicurezza. Infine, invia i dati al server dei criminali informatici.<\/p>\n

Per conoscere i dettagli tecnici dell\u2019attacco e gli indicatori di compromissione, si veda il nostro report ICS CERT<\/a>.<\/p>\n

Origine del nome<\/h2>\n

I nostri esperti hanno trovato alcune somiglianze tra il nuovo attacco e la gi\u00e0 nota campagna Manuscrypt<\/a>, ma l\u2019analisi ha rivelato che un soggetto completamente diverso, il gruppo APT41, aveva precedentemente utilizzato parte del codice malware nei suoi attacchi. La responsabilit\u00e0 del nuovo attacco non \u00e8 stata ancora stabilita, per questa ragione, per ora, lo chiamiamo PseudoManuscrypt.<\/p>\n

Come PseudoManuscrypt infetta il sistema<\/h2>\n

Un\u2019infezione di successo si basa su una catena di eventi piuttosto complessa. L\u2019attacco a un computer di solito inizia quando l\u2019utente scarica ed esegue un malware che imita un pacchetto di installazione pirata per un software popolare.<\/p>\n

\u00c8 possibile cadere nella trappola di PseudoManuscrypt cercando un software pirata su Internet. I siti web che distribuiscono codici dannosi che corrispondono a query popolari si posizionano tra i primi posti nei risultati dei motori di ricerca, una metrica che i cybercriminali sembrano monitorare.<\/p>\n

Qui si pu\u00f2 vedere chiaramente perch\u00e9 ci sono stati cos\u00ec tanti tentativi di infezione nei confronti dei sistemi industriali. Oltre a introdurre un malware spacciandolo per un software popolare (come, per esempio, suite per ufficio, soluzioni di sicurezza, sistemi di navigazione e sparatutto in prima persona 3D), i criminali offrono anche falsi pacchetti di installazione per software professionali, tra cui alcune utility per interagire con i controllori logici programmabili (PLC) utilizzando il ModBus. Il risultato: un numero insolitamente alto di computer del sistema di controllo industriale (ICS) infettati (7,2% del totale).<\/p>\n

\"Risultati

Risultati della ricerca di un software pirata. PseudoManuscrypt pu\u00f2 posizionarsi tra i primi link. Fonte<\/a><\/p><\/div>\n

L\u2019esempio nello screenshot qui sopra mostra un software per amministratori di sistema e ingegneri di rete. Teoricamente un tale vettore di attacco potrebbe fornire ai criminali l\u2019accesso completo all\u2019infrastruttura dell\u2019azienda.<\/p>\n

I cybercriminali utilizzano anche un meccanismo di consegna Malware-as-a-Service (MaaS), pagando altri criminali informatici per distribuire PseudoManuscrypt. Questa pratica ha dato origine a una funzione interessante che i nostri esperti hanno trovato quando stavano analizzando la piattaforma MaaS: a volte PseudoManuscrypt viene distribuito in bundle con altri malware che la vittima ha installato come un unico pacchetto. Lo scopo di PseudoManuscrypt \u00e8 quello di spiare, ma altri programmi pericolosi potrebbero avere altri obiettivi, come crittografare i dati per poi estorcere denaro.<\/p>\n

Qual \u00e8 l\u2019obiettivo di PseudoManuscrypt?<\/h2>\n

Il maggior numero di rilevamenti di PseudoManuscrypt si \u00e8 verificato in Russia, India, Brasile, Vietnam e Indonesia. Il numero di coloro che hanno tentato di eseguire il codice dannoso \u00e8 enorme e all\u2019interno di questo gruppo, gli utenti di organizzazioni industriali rappresentano una quota significativa. Tra le vittime di questo settore si annoverano numerosi gestori di sistemi di automazione di edifici, aziende e fornitori di energia elettrica, fabbricanti, imprese edili e persino fornitori di servizi per impianti di trattamento dell\u2019acqua. Inoltre, un numero insolitamente elevato di computer colpiti apparteneva ad aziende coinvolte in processi di ingegneria e produzione di nuovi prodotti industriali.<\/p>\n

Come proteggersi da PseudoManuscrypt<\/h2>\n

Per proteggersi da PseudoManuscrypty \u00e8 necessario disporre di soluzioni di protezione affidabili e regolarmente aggiornate; queste soluzioni devono altres\u00ed essere installate sulla totalit\u00e0 dei sistemi dell\u2019azienda. Inoltre, raccomandiamo di istituire politiche che rendano difficile disabilitare la protezione.<\/p>\n

Per quanto riguarda i sistemi IT nel settore industriale, offriamo anche una soluzione specializzata, Kaspersky Industrial CyberSecurity<\/a>, che protegge i computer (anche quelli specializzati) e controlla i trasferimenti di dati che utilizzano protocolli specifici.<\/p>\n

Infine, \u00e8 necessario ricordare quanto sia importante aumentare la consapevolezza degli impiegati nei confronti dei rischi in materia di cybersecurity. Non si pu\u00f2 escludere completamente la possibilit\u00e0 di un attacco di phishing, ma si pu\u00f2 aiutare il personale a stare in all\u2019erta, educare e spiegare loro i pericoli che si nascondono nell\u2019installare programmi non autorizzati (in particolare quelli pirata) su computer con accesso a sistemi industriali.<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Un cyberattacco ha colpito un numero inaspettatamente grande di sistemi di controllo industriale.<\/p>\n","protected":false},"author":665,"featured_media":26206,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955],"tags":[3616,3617,1103],"class_list":{"0":"post-26204","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-sicurezza-informatica-industriale","10":"tag-sistemi-industriali","11":"tag-spyware"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/pseudomanuscrypt-industrial-malware\/26204\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/pseudomanuscrypt-industrial-malware\/23759\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/19258\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/25977\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/pseudomanuscrypt-industrial-malware\/23955\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/23625\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/pseudomanuscrypt-industrial-malware\/26596\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/pseudomanuscrypt-industrial-malware\/32108\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/pseudomanuscrypt-industrial-malware\/10384\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/43177\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pseudomanuscrypt-industrial-malware\/18302\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/pseudomanuscrypt-industrial-malware\/18691\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/pseudomanuscrypt-industrial-malware\/15630\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/pseudomanuscrypt-industrial-malware\/27880\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/pseudomanuscrypt-industrial-malware\/32236\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/pseudomanuscrypt-industrial-malware\/27948\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/pseudomanuscrypt-industrial-malware\/24697\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/pseudomanuscrypt-industrial-malware\/30119\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/pseudomanuscrypt-industrial-malware\/29910\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/sicurezza-informatica-industriale\/","name":"sicurezza informatica industriale"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26204","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=26204"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26204\/revisions"}],"predecessor-version":[{"id":26209,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26204\/revisions\/26209"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/26206"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=26204"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=26204"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=26204"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}