Come salvarsi da virus con monitor economici o basse risoluzioni
7 Luglio 2020 - Tempo di lettura: 5 minuti
Gli sviluppatori del famoso Trojan TrickBot hanno aggiunto una nuova pericolosa funzionalità. Secondo gli esperti nella cancellazione sicura dei dati, questo malware è ora in grado di verificare la risoluzione dello schermo della vittima per rilevare se il malware è in esecuzione su una macchina virtuale. La scansione di macchine virtuali è una tecnica molto comune per prevenire gli attacchi informatici.
Gli sviluppatori di malware utilizzano più tecniche per rilevare se il malware è in esecuzione su una macchina virtuale. In tal caso, è probabile che il malware venga analizzato da un investigatore o isolato in un ambiente sandbox personalizzato. Queste tecniche includono la ricerca di processi caratteristici, servizi di Windows o nomi di macchine, nonché la verifica degli indirizzi MAC della scheda di rete o delle funzionalità della CPU.
Come riportato da MalwareLab, con il lavoro del ricercatore Maciej Kotowicz, TrickBot analizza la risoluzione dello schermo sul sistema infetto, che consente agli hacker di determinare se il malware è in esecuzione in un ambiente isolato.
Sebbene TrickBot sia iniziato come un comune trojan bancario, gli sviluppatori hanno incluso molteplici funzionalità che lo rendono una delle varianti di malware più pericolose al giorno d'oggi. Tra le funzionalità aggiunte a TrickBot ci sono le credenziali archiviate nel furto del browser, il furto di database in Active Directory, la ricerca di cookie, chiavi OpenSSH, tra le altre attività dannose, come menzionato dagli esperti di cancellazione sicura dei dati.
Nella sua indagine, Kotowicz menziona che un nuovo campione rilevato da TrickBot sta verificando se la risoluzione dello schermo del computer interessato è 800 × 600 o 1024 × 768 e, in tal caso, TrickBot non viene eseguito.
L'esperto di cancellazione sicura dei dati rileva che queste particolari risoluzioni sono molto comuni nella configurazione della maggior parte delle distribuzioni VM.
Nella configurazione di questi strumenti, i ricercatori raramente installano software aggiuntivo per stabilire una risoluzione dello schermo più alta, oltre a modificare altre funzioni (come una migliore gestione del mouse, accesso alla rete, tra gli altri): “VirtualBox, ad esempio, ha una risoluzione predefinita di 1024 × 768", menziona Kotowicz. In altre parole, gli utenti che utilizzano monitor con le risoluzioni di cui sopra potrebbero essere meno inclini alle infezioni di TrickBot, anche se vale la pena ricordare che queste sono considerate risoluzioni di bassa qualità, rendendo difficile il lavoro quotidiano.
