MICROSOFT SUONA IL CAMPANELLO D’ALLARME: UN NUOVO MALWARE COLPISCE WINDOWS

Microsoft ha suonato un nuovo campanello d’allarme, in quanto è stato scoperto un nuovo malware che a quanto pare potrebbe essere legato al governo Cinese e che starebbe colpendo Windows.

L’annuncio è arrivato dal Microsoft Detection and Response Team (DART), il quale ha spiegato che il gruppo Hafnium avrebbe sfruttato una vulnerabilità finora sconosciuta per violare Windows.

Tarrask, questo il nome del malware, sarebbe in grado di nascondersi dal registro e dal Task Scheduler, dove pianifica attività nascoste e stabilisce il collegamento con i server C2C. La compagnia di Redmond osserva che il problema è particolarmente preoccupante non solo perchè i cybercriminali, visto che conoscono bene Windows, sono in grado di nascondere le tracce degli attacchi eliminando il valore della chiave di registro, ma anche perchè potrebbe colpire anche i PC che vengono riavviati raramente, come i database server e controller di dominio.

Uno dei modi per trovare le attività nascoste è ispezionare manualmente il registro di Windows.

Tuttavia è anche possibile individuare il malware ablitando i registri Security.evtx e Microsoft-Windows-TaskScheduler/Operational.evtx e cercare gli eventi chiave, in connessione a qualsiasi attività “nascosta” utilizzando Tarrask.

Il gigante di Redmond ha inoltre raccomandato di abilitare la registrazione per “TaskOperational” nel registro di Microsoft-Windows-TaskScheduler/Operational Task Scheduler e di tenere d’occhio le connessioni in uscita in cui viene indicato il collegamento ai server C2C.

Se si abilita Windows Defender for Endpoint e Microsoft Sentinel, inoltre, il malware viene rilevato e bloccato.

La notizia arriva a pochi giorni da quando Microsoft aveva annunciato di aver stoppato gli hacker russi che volevano colpire Ucraina, USA ed UE.