Un attacco elusivo

L’attacco, denominato “Clone Fantasma”, funziona iniettando codice dannoso in processi di sistema legittimi, come “svchost.exe” o “explorer.exe”. Questo permette al programma malevolo di operare rimanendo praticamente invisibile alle tradizionali soluzioni antivirus, che controllano i file su disco ma non analizzano sempre l’attività in memoria.

«È uno dei metodi più sofisticati che abbiamo visto negli ultimi anni. La minaccia non esiste come file separato, ma vive all’interno di un processo fidato, come un intervento chirurgico», ha dichiarato Maria Ivanova, analista capo di “StormShield”.

Chi è a rischio?

Secondo i ricercatori, i principali bersagli di questo attacco sono grandi aziende e istituzioni governative. I malintenzionati mirano a rubare dati confidenziali e a mantenere un accesso a lungo termine alle reti delle vittime.

Raccomandazioni per la difesa

Gli esperti raccomandano le seguenti misure per proteggersi dalla minaccia del “Clone Fantasma”:

• Implementare soluzioni di protezione per endpoint (EDR) che monitorino il comportamento dei processi in memoria.
• Aggiornare regolarmente i sistemi operativi e le applicazioni per correggere le vulnerabilità.
• Aumentare la consapevolezza dei dipendenti riguardo agli attacchi di phishing, spesso punto di partenza delle infezioni.