Il malware Baldr è un mostro di Frankenstein formato da diversi frammenti di codice e, nonostante non sia più disponibile sul mercato (deep web), può essere ancora utilizzato da chi l’aveva precedentemente acquistato

Milano — 九月 3, 2019 —

Sophos (LSE: SOPH), leader mondiale per la protezione delle reti e dell’endpoint, ha pubblicato un’approfondita ricerca condotta dai SophosLabs su Baldr, un “ladro d’informazioni” apparso per la prima volta a gennaio 2019. Il report, Baldr vs il Mondo, fornisce una visione sulla popolarità del malware e sulle sue uniche caratteristiche killchain. La ricerca analizza inoltre il funzionamento interno di Baldr, tra cui i comportamenti dei cybercriminali e i passi falsi avvenuti dal lato della vendita e dall’acquisto che hanno portato alla potenziale scomparsa dal deep web a giugno. 

Secondo i SophosLabs, chi ha sviluppato Baldr ha pensato di venderlo sul deep web come uno strumento entry-level per i cybercriminali che avrebbero attaccato, in primis, i PC gamer. Gli attacchi di Baldr però non si sono limitati ai gamer ma hanno iniziato a diffondersi su qualsiasi tipo di pc. 

Baldr, come diversi tipi di malware, utilizza frammenti di codici presi in prestito da altre famiglie di malware. Baldr, però, si spinge oltre: difatti è formato da parti di un gran numero di altri malware, rendendolo più simile a un "mostro di Frankenstein creato da frammenti di codice". 

La ragione principale per cui gli utenti dovrebbero fare attenzione a Baldr è la sua capacità di accedere velocemente ad un grande numero di informazioni, tra cui le password salvate, le cache, i file di configurazione, i cookie e altri file da un’ampia gamma di applicazioni. 

I SophosLabs hanno rintracciato attacchi in tutto il mondo, in particolare: 

  • Indonesia (21%)
  • Brasile (14,14%)
  • Russia (13,68%)
  • Stati Uniti (10,52%)
  • India (8,77%)

Baldr è scomparso dal mercato a giugno, apparentemente per una lite tra il creatore e il distributore. I SophosLabs prevedono che il malware ritornerà tra poco, probabilmente con un nuovo nome.

"Resta da vedere se Baldr sia stato solo una meteora, caduta vittima di una disputa tra cybercriminali o se tornerà come una minaccia a lungo termine. Tuttavia, la sua stessa esistenza è un esempio di come anche pezzi di codice malware rubati, cuciti insieme per creare un "mostro di Frankenstein", possono essere incredibilmente efficaci nell'irrompere, rubare tutto e poi scomparire. L'unico modo per fermare tali minacce è attuare pratiche di sicurezza di base, ma essenziali, che includono l'uso di software di sicurezza aggiornati", ha commentato Albert Zsigovits, un ricercatore sulle minacce di SophosLabs in Ungheria.

L’attacco ai gamer

I gamer, di solito, utilizzano sistemi più potenti e sono più inclini ad installare strumenti personalizzati, utility e applicazioni da diverse fonti, tutte queste caratteristiche li rendono delle vittime perfette per i cybercriminali. In particolare, le utility abilitano i “trucchi” che spesso usano dei processi simili a quelli di un malware, come la DLL injection, la modifica o l’inserimento di codice all’interno della memoria. Questi processi non solo possono destabilizzare il sistema, ma rischiano di rovinare l’esperienza di gioco ad altri giocatori.

“Nonostante Baldr sia attualmente non disponibile sul mercato (deep web), può essere ancora utilizzato dagli hacker che l’avevano precedentemente acquistato e rappresenta tutt’ora una minaccia. In generale, i gamer e gli utenti di pc dovrebbero prestare particolare attenzione ai malware e attuare contromisure per difendere i propri sistemi con soluzioni di sicurezza come Sophos Home, che analizza i giochi e i trucchi”, ha commentato Zsigovits.

Come proteggersi da Baldr

Per proteggersi da Baldr, gli utenti dovrebbero diffidare dalle pubblicità online che promettono “troppo”, se qualcosa sembra troppo bella per essere vera, probabilmente è una truffa. È importante usare sempre le migliori ed elementari pratiche di sicurezza e su ogni dispositivo. Le aziende possono avvalersi di una soluzione di sicurezza di livello enterprise che rileva i malware come Sophos Intercept X, che protegge anche dai ransomware. Sophos Home è perfetta per controllare i computer familiari e i videogiochi così da intercettare Baldr e altri malware. 

Sophos Home implementa un approccio di sicurezza a più livelli, combinando il rilevamento comportamentale, la protezione avanzata degli exploit, l'antivirus e il rilevamento statico basato sull'IA che lavorano in tandem per proteggere i giocatori. Inoltre, Sophos Home protegge i trasferimenti di file da siti di gioco e server sospetti analizzando il traffico di rete per rilevare il traffico dannoso e scansionando i file scaricati in tempo reale mentre vengono scritti nel file system. In combinazione con la protezione dai siti di phishing e le funzionalità di gestione remota, Sophos Home offre un approccio completo alla protezione che è la scelta di sicurezza ideale per i giocatori.

Infine, tutti gli utenti di computer dovrebbero essere più astuti per quanto concerne l’uso di password. Usare e cambiare di frequente password complesse, servirsi di un’unica password per la banca e altri servizi finanziari online oltre che a monitorare qualsiasi attività sospetta.

Deep Web

Il deep web (o web sommerso) è la terra di mezzo tra il surface web (dove navighiamo) e il dark web, dove si nascondono agiscono gli hacker. Poiché è più difficile accedere al dark web, i criminali informatici a volte vendono il loro malware sul deep web per raggiungere un pubblico più ampio (sì, i criminali informatici sono capitalistici come qualsiasi business leader) o i cybercriminali alle prime armi che cercano modi per guadagnare velocemente soldi. SophosLabs ritiene che questa fosse l'intenzione degli sviluppatori di Baldr.

关于 Sophos

Sophos 是全球领先的先进安全解决方案提供商和创新者,全面安全解决方案涵盖托管式侦测与响应 (MDR) 和事件响应服务,以及广泛的端点、网络、电子邮件和云安全技术。作为最大的纯网络安全厂商之一,Sophos 为全球超过 600,000 家企业和超过 1 亿用户提供防御主动攻击对手、勒索软件、网络钓鱼、恶意软件等威胁的保护。Sophos 的服务和产品通过 Sophos Central 管理控制台连接,并得到公司内部的跨领域威胁情报部门 Sophos X-Ops 的支持。Sophos X-Ops 情报优化整个 Sophos Adaptive Cybersecurity Ecosystem 自适应网络安全生态体系,包括一个中央数据湖,为客户、合作伙伴、开发人员和其他网络安全与信息技术供应商提供一组丰富的开放 API。Sophos为需要完全托管的安全解决方案的组织提供网络安全即服务。客户还可以直接利用 Sophos 的安全运行平台管理其网络安全,或者采用混合方法,为内部团队补充 Sophos 服务(包括威胁追踪与修复)。Sophos 通过世界各地的经销商合作伙伴和托管服务供应商 (MSP) 销售。Sophos 总部位于英国牛津。如欲了解更多信息,请访问 www.sophos.com