Aurora e Invalid Printer: due pericolosi malware

Aurora e Invalid Printer: due pericolosi malware

Il loader Invalid Printer scarica l'info-stealer Aurora sul computer, dopo aver mostrato agli utenti un finto aggiornamento del sistema operativo.
Aurora e Invalid Printer: due pericolosi malware
Il loader Invalid Printer scarica l'info-stealer Aurora sul computer, dopo aver mostrato agli utenti un finto aggiornamento del sistema operativo.

Gli esperti di Malwarebytes hanno scoperto una campagna di malvertising che inganna gli utenti con l’obiettivo finale di installare il noto info-stealer Aurora. I cybercriminali hanno sfruttato un nuovo loader, denominato Invalid Printer, per aggirare le protezioni di Windows e degli antivirus. La soluzione di sicurezza offerta dalla software house californiana rileva e blocca queste minacce.

Aurora e Invalid Printer: coppia pericolosa

La campagna di malvertising è stata avviata contro siti che ospitano contenuti per adulti. Le inserzioni pubblicitarie fasulle sono in forma di popunder (banner nascosti dietro la finestra del browser). Viene simulato un finto aggiornamento di Windows, al termine del quale l’utente deve cliccare sul pulsante OK per completare l’operazione. In realtà viene scaricato sul computer il file ChromeUpdate.exe che nasconde Invalid Printer.

Quest’ultimo è un nuovo loader che aggira la protezione di molti antivirus. Il malware effettua una scansione del sistema per individuare il tipo di scheda video. Se trova una GPU simulata nelle macchine virtuali o in ambienti di sviluppo, la procedura si arresta. In caso contrario viene scaricato l’info-stealer Aurora dal server C2 (command and control).

Aurora può raccogliere numerosi dati da computer, tra cui cookie, password, numeri delle carte di credito e cronologia dai browser. Può inoltre accedere ai messaggi di Telegram e ad oltre 40 wallet di criptovalute. I cybercriminali possono controllare l’esito degli attacchi attraverso un pannello web.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Fonte: Malwarebytes
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
11 mag 2023
Link copiato negli appunti