Mosca – Secondo i ricercatori di Kaspersky Lab sarebbe ancora attivo il malware Olympic Destroyer, che colpì a ridosso dell’apertura dei Giochi Olimpici invernali 2018 di Pyeongchang in Corea del Sud con un worm di rete distruttivo. Obiettivi del malware potrebbero essere ora Germania, Francia, Svizzera, Paesi Bassi, Ucraina e Russia, con particolare attenzione alle organizzazioni che si occupano di protezione contro le minacce chimiche e biologiche. Il malware sarebbe tornato operativo utilizzando alcuni dei suoi strumenti originali di infiltrazione e ricognizione, concentrandosi stavolta sull’Europa, attraverso documenti di spear-phishing che assomigliano molto ai documenti utilizzati nella preparazione delle operazioni delle Olimpiadi Invernali. Stando alle ricerche condotte da Kaspersky Lab, alcuni dei documenti di spear-phishing scoperti conterrebbero parole in russo e tedesco e tutti i payload finali estratti dai documenti dannosi sono stati progettati per fornire accesso generico ai computer compromessi. Per la seconda fase dell’attacco è stato utilizzato un framework open source e gratuito, noto come Powershell Empire. Sembra che gli aggressori utilizzino web-server legittimi compromessi per ospitare e controllare il malware e questi server utilizzerebbero un noto sistema di gestione dei contenuti open source (CMS) chiamato Joomla.