La società di sicurezza Outpost24 ha rilevato l'attività di un nuovo gruppo di criminali informatici, chiamato Unfurling Hemlock. La loro particolarità è nella realizzazione di campagne hacker che simulano una "bomba a grappolo", capaci cioè di attivare centinaia di virus con un solo lancio. L'operazione, individuata dai ricercatori di sicurezza KrakenLabs di Outpost24, permette all'attaccante di diffondere da una singola minaccia una vasta tipologia di file infetti. Tra i principali ci sono Redline, Mystic Stealer, RisePro, Amadey, SmokeLoad. Stando a quanto comunicato dagli esperti, la provenienza di Unfurling Hemlock sarebbe russa mentre la maggior parte degli obiettivi si troverebbe negli Stati Uniti. Un'attività elevata è stata identificata anche in Germania e Turchia.
Secondo la società, l'attività di Unfurling Hemlock è iniziata nel febbraio del 2023. Finora, sarebbero almeno 50.000 i file infetti inviati in rete. Gli hacker partono con lo spingere le vittime ad aprire un primo documento, che contiene il virus di partenza WeExtract.exe. Questo raggiunge i dispositivi di destinazione tramite e-mail dannose o programmi di norma usati per scaricare software gratis, normalmente a pagamento. Il file eseguibile contiene altri file nidificati, ossia con livelli che contengono ognuno diversi campioni di malware. Eseguito il primo, la minaccia fa partire gli altri di seguito. Gli specialisti di Outpost24 affermano di aver osservato fino a sette modalità differenti di lancio della "bomba a grappolo", come conseguenza di strategie di hacking differenti, probabilmente a seconda della vittima scelta. Gli esperti consigliano di analizzare i file scaricati da internet utilizzando strumenti antivirus aggiornati prima di eseguirli, poiché tutti i malware rilasciati in questa campagna sono ben documentati e dispongono di firme note.
Riproduzione riservata © Copyright ANSA
