Gli esperti di sicurezza informatica hanno segnalato il rilevamento di una sofisticata campagna di malvertising. Soprannominati “LuckyBoy”, gli operatori fanno affidamento su un forte offuscamento e cloaking per evitare il rilevamento da parte delle soluzioni di sicurezza nei sistemi iOS, Android e persino Xbox. Rilevata per la prima volta nel dicembre 2020, questa campagna è in costante crescita negli Stati Uniti e all’estero.
Secondo un rapporto della società di sicurezza Media Trust, il malware analizza prima il sistema di destinazione alla ricerca di blocchi, ambienti sandbox o debugger; in caso di rilevamento di alcuni di questi strumenti, LuckyBoy si chiuderà automaticamente. D’altra parte, quando viene eseguito su un sistema vulnerabile, il malware esegue un pixel di tracciamento programmato per reindirizzare le vittime a siti Web di phishing o aggiornamenti software dannosi.
Invece di implementare una massiccia campagna di diffusione, gli operatori LuckyBoy preferiscono piccoli attacchi lanciati ogni giovedì sera. Durante una di queste operazioni gli esperti ne hanno analizzato il codice, rilevando le estese tecniche di offuscamento e di esclusione dei domini. Questo malware è in grado di raccogliere i dati del dispositivo di destinazione come codice paese, informazioni grafiche, numero di core della CPU, dettagli della batteria, plug-in, tra gli altri dettagli che possono essere utili per ulteriori attacchi.
Come se ciò non bastasse, LuckyBoy esegue costantemente la scansione del sistema, quindi gli operatori possono essere sicuri che il malware possa ancora persistere sul sistema di destinazione. Se una di queste scansioni rileva la presenza di una delle misure di sicurezza menzionate in precedenza, gli script smetteranno di funzionare e il malware troverà la propria via d’uscita dal sistema di destinazione.
Gli esperti pensano anche che gli operatori di malware stiano utilizzando LuckyBoy per condurre test prima di lanciare una massiccia campagna di hacking: “Gli sviluppatori di questo malware sono in grado di aggirare complesse soluzioni di difesa e potrebbero diventare ancora più sofisticati”, afferma il rapporto di Media Trust. Microsoft, Android e Apple sono già stati avvisati in modo che possano prendere le misure di sicurezza appropriate per questa campagna di malvertising.