DEFINIZIONE DEL VIRUS
Tipi di virus: Advanced Persistent Threat, trojan, malware, APT, ATM, trojan bancari, spear-phishing, cybercrimine
Cos'è GCMAN?
GCMAN è un gruppo che utilizza tecniche APT e strumenti di penetration test legittimi per infettare le reti di computer e tentare di rubare fondi trasferendo denaro da istituti finanziari a servizi di e-currency. Il malware è stato creato con l'aiuto del compilatore GCC, una rarità tra gli autori di malware.
Cosa è in grado di fare?
Il meccanismo di infezione iniziale è gestito dallo spear-phishing. Viene preso di mira un istituto finanziario attraverso e-mail che contengono un archivio RAR malevolo. Quando viene aperto l'archivio RAR viene avviato un eseguibile invece di un documento di Microsoft Word, con conseguente infezione. Il gruppo installa anche uno script cron nel server della banca per generare transazioni finanziarie al tasso di $ 200 al minuto.
Chi sono le vittime di questi attacchi?
Le vittime fanno soprattutto parte di istituzioni finanziarie.
Esposizione al rischio
Si è a rischio quando si rientra nella categoria sopra citata. Assicurasi di utilizzare soluzioni anti-malware avanzate e di ricevere consigli da una società di sicurezza affidabile.
Come capire se il computer è infetto?
I prodotti Kaspersky Lab rilevano e bloccano con successo il malware utilizzato dagli autori delle minacce GCMMAN con i seguenti nomi di rilevamento:
Backdoor.Win32.GCMan; Backdoor.Win64.GCMan; Trojan-Downloader.Win32.GCMan
La società ha anche rilasciato cruciali indicatori di compromesso (IOC) e altri dati per aiutare le organizzazioni a cercare tracce di questi gruppi nelle loro reti aziendali.
Come proteggersi?
L'unico modo per scoprire un tentativo di penetrazione o una penetrazione efficace del perimetro è analizzare i modelli di comportamento e cercare di individuare un attacco, identificando un aggressore in un flusso di attività tipico della rete aziendale.
Assicurasi di utilizzare soluzioni anti-malware avanzate come Kaspersky Endpoint Security for Business. Inoltre è necessario prestare attenzione alla cybersecurity awareness, per essere in grado di identificare e-mail di phishing presenti nella propria casella postale.
Per aumentare il livello di protezione, si consiglia alle organizzazioni di utilizzare System Watcher che include il modulo BSS (Behavior Stream Signatures). Questo è incluso in tutti i prodotti e le soluzioni più moderni.
Ovviamente, non basta offrire solo una moltitudine di potenti livelli di sicurezza degli endpoint. Una delle tecniche più popolari per l'infezione iniziale, lo spear-phishing, rende obbligatoria la sicurezza della posta. Kaspersky Security for Mail Server esegue la scansione delle e-mail in entrata sia per gli allegati dannosi che per gli URL, riducendo significativamente le possibilità di attacco.
