Threat Database Malware Meteor Wiper Malware

Meteor Wiper Malware

Meteor Wiper, come suggerisce il nome, è un malware wiper progettato per causare danni irreversibili ai computer infetti. Tali minacce vengono distribuite quando l'attore della minaccia non è alla ricerca di guadagni monetari. Invece, l'obiettivo è causare la stessa interruzione delle operazioni del target specifico o utilizzare l'attacco wiper come distrazione per nascondere il vero obiettivo degli hacker. Meteor wiper è un malware precedentemente sconosciuto che è stato distribuito come parte dell'attacco informatico contro il sistema ferroviario iraniano.

La scoperta di Meteor Wiper

L'analisi iniziale dell'attacco non ha raccolto tracce della minaccia del tergicristallo. Finora non è stato determinato l'attore della minaccia dietro l'hack. Tuttavia, i criminali informatici sono riusciti a violare con successo il ministero dei trasporti iraniano e a interrompere il sistema ferroviario del paese. Gli aggressori hanno chiuso il sito web ufficiale dell'agenzia e hanno annunciato la loro realizzazione visualizzando un messaggio sull'attacco informatico sulle bacheche della ferrovia. Molti dei messaggi visualizzati hanno anche invitato i passeggeri che desiderano ottenere maggiori informazioni sull'incidente a chiamare un numero di telefono, che è stato determinato appartenere al leader supremo iraniano Ali Khamenei. In background, l'hacking ha anche provocato il blocco di più dispositivi Windows dietro una schermata di blocco che impediva l'accesso ai sistemi.

La prima a scoprire che sono state impiegate anche altre minacce come Meteor Wiper è stata la società di sicurezza informatica iraniana Aman Pardaz. Un rapporto di SentinelOne e del ricercatore Juan Andres Guerrero-Saade ha rivelato informazioni più approfondite sulla minaccia e diversi nuovi componenti scoperti.

La catena dell'attacco

Prima di distribuire Meteor Wiper, l'autore delle minacce ha utilizzato diversi eseguibili e file batch che sono stati consegnati a ciascun dispositivo compromesso e hanno il compito di preparare l'ambiente locale per i payload finali. Innanzitutto, il sistema è stato scansionato alla ricerca di prodotti antimalware specifici che, se rilevati, sono stati successivamente terminati. Quindi, il dispositivo di destinazione viene disconnesso dalla rete. Per facilitare il corretto funzionamento delle minacce malware, vengono aggiunte esclusioni a Windows Defender. Durante il passaggio successivo, vengono estratti diversi payload di malware. Dopo aver eseguito diverse attività aggiuntive, come la cancellazione dei registri eventi di Windows e lo svuotamento della cache del filesystem sul disco, vengono avviati i payload finali. Questi includono il wiper Meteor fornito come file denominato "env.exe" o "msapp.exe", un armadietto MBR (Master Boot Record) e un armadietto dello schermo.

Tendenza

I più visti

Caricamento in corso...