Gli hacker utilizzano un clone Python di Minesweeper per prendere di mira gli istituti finanziari

Gli hacker utilizzano il codice di un clone Python di Minesweeper per attaccare organizzazioni finanziarie e assicurative degli Stati Uniti e dell’Europa. Secondo Bleeping Computer , il Computer Security Incident Response Team (CSIRT-NBU) e il Computer Emergency Response Team of Ukraine ( CERT-UA ) hanno monitorato l’attacco e ritenuto responsabile l’UAC-0188.

L’UAC-0188, noto anche come FromRussiaWithLove, è un hacktivista russo. Gli aggressori utilizzano il codice Minesweeper per nascondere i loro script Python che installano SuperOps RMM, uno strumento che li aiuta ad accedere ai sistemi interessati.

In che modo gli hacker utilizzano il codice Campo Minato?

I trasgressori si travestono da centro medico. Usano l’ e-mail [email protetta] . Inoltre, l’oggetto dell’e-mail è Archivio Web personale di documenti medici.

Nell’e-mail, i destinatari possono trovare un collegamento Dropbox, che porta a 33 MB. File SCR che contiene il codice del clone Python di Minesweeper e uno dannoso che scarica malware aggiuntivo da anotepad.com.

Il clone Python di Minesweeper funge da esca per la vera stringa da 28 MB con codifica Base64, che contiene il codice dannoso. Inoltre, la funzione create_license_ver contenuta nel codice decodifica ed esegue il malware. Questo processo nasconde il codice dannoso ai sistemi di sicurezza.

Quando la funzione termina la decodifica, rivela a. File ZIP contenente l’RMM SuperOps. Quindi, lo estrae ed lo esegue utilizzando una password statica.

Gli specialisti della sicurezza informatica consigliano di prestare attenzione se noti attività SuperOPS RMM sul tuo dispositivo, soprattutto se la tua organizzazione non la utilizza. Inoltre, controlla le chiamate ai seguenti domini: superops.com e superops.ai. Inoltre, utilizza un dispositivo antivirus aggiornato, esegui il backup dei dati importanti e modifica regolarmente le tue password.

In definitiva, il malware Minesweeper è una minaccia seria che non dovresti trattare alla leggera. Il CERT-UA ha rivelato cinque file simili inviati negli Stati Uniti e nell’UE. Quindi, sii cauto, soprattutto se gestisci un’organizzazione finanziaria.