Rimuovere EnvyScout Malware

Gli hacker APT29, tracciati anche con il nome del gruppo Nobelium, hanno recentemente lanciato una nuova campagna di attacco, che utilizza una gamma completamente nuova di campioni di malware. È probabile che le famiglie di malware precedentemente non rilevate siano state sviluppate dai criminali Nobelium e vengano utilizzate in attacchi attentamente pianificati, che coinvolgono più fasi di esecuzione.

Finora, la recente campagna ha preso di mira diverse organizzazioni in tutto il mondo, la più notevole delle quali è l'Agenzia statunitense per lo sviluppo internazionale (USAID). Presumibilmente, gli hacker sono riusciti a compromettere uno degli account di posta elettronica dell'organizzazione e quindi ad abusarne per l'invio e-mail di spam che recapitano i vari payload. Le organizzazioni mirate coprono una vasta gamma di settori come lo sviluppo, le organizzazioni umanitarie, politiche e varie organizzazioni senza scopo di lucro.

Uno dei primi payload coinvolti in questi attacchi si chiama EnvyScout. È un file dannoso molto semplice, che utilizza una combinazione di HTML e JavaScript per provare a caricare un'immagine speciale da un server esterno. Il modo in cui viene eseguito il caricamento, tuttavia, consente agli aggressori di ottenere le credenziali di Windows NTLM (NT Lan Manager) dell'utente in uno stato codificato. Possono quindi provare a recuperare la password in testo normale e utilizzarla per compromettere la macchina della vittima al fine di distribuire carichi utili aggiuntivi.

EnvyScout Malware è la primissima fase della catena di attacchi che gli hacker Nobelium eseguono nella loro recente operazione. Gli utenti dovrebbero diffidare delle e-mail sospette che chiedono loro di scaricare e visualizzare un allegato: dovresti sempre scansionare tali file con l'aiuto di uno strumento di sicurezza adatto.