I ricercatori di Fortintet identificano gli attacchi di phishing che distribuiscono una nuova variante del trojan Bazar, un malware che crea una backdoor completa sui PC Windows infetti.
Una nuova campagna di phishing sta tentando di indurre le vittime a scaricare l’ultima versione di un malware trojan, ed è collegata ad una delle operazioni criminali informatiche attualmente più attive e prolifiche al mondo.
Il trojan Bazar è emerso per la prima volta lo scorso anno e una distribuzione di successo del malware trojan può fornire ai criminali informatici una backdoor nei sistemi Windows compromessi, consentendo loro di controllare il dispositivo e ottenere un accesso aggiuntivo alla rete al fine di raccogliere informazioni sensibili o fornire malware, compresi ransomware.
La backdoor è stata utilizzata in attacchi mirati a settori quali sanità, tecnologia, produzione e logistica in Nord America ed Europa.
I ricercatori di sicurezza informatica di Fortinet lo hanno collegato agli sviluppatori di Trickbot, e di recente hanno identificato una nuova variante del trojan Bazar, che è stato dotato di tecniche anti-analisi per rendere il malware più difficile da rilevare per il software antivirus. Come nascondere le API dannose nel codice e richiederle solo quando necessario, offuscare il codice aggiuntivo e persino crittografare alcune stringhe per renderlo più difficile da analizzare.
Le nuove tecniche sono state aggiunte a Bazar verso la fine di gennaio e hanno coinciso con una campagna di phishing progettata per distribuire la versione aggiornata del malware.
I temi utilizzati dalle e-mail di phishing progettate per attirare l’interesse delle potenziali vittime aziendali includono falsi rapporti sui reclami dei clienti, falsi estratti conto e la falsa offerta di un bonus finanziario.
Indipendentemente dal tema dell’e-mail, gli attacchi di phishing del trojan Bazar tentano di incoraggiare una potenziale vittima a fare clic su un collegamento che sembra reindirizzare a un PDF contenente informazioni aggiuntive sull’oggetto del messaggio.
Questi collegamenti portano a una pagina web dannosa che fa riferimento all’email iniziale e indirizza gli utenti verso il download di un file: è questo che scarica Bazar sul sistema ed esegue il processo di installazione per il malware.
Una volta completato, gli aggressori dispongono di una backdoor sul sistema compromesso che possono utilizzare per i propri scopi dannosi o venderla ad altri criminali informatici per sfruttarla.
Fortinet avverte che questa particolare campagna di phishing di Bazar rimane attiva e che vengono spesso rilevati tentativi di attacco.
«Per evitare di cadere vittima di attacchi phishing e installare inavvertitamente Bazar o altri malware, è consigliabile formare i propri dipendenti (o qualsiasi persona abbia accesso alla rete aziendale o dell’organizzazione di riferimento) attraverso specifici percorsi di simulazione di attacco come il Phishing attack Simulation. La formazione in questo ambito è rivolta a raggiungere i seguenti obiettivi:
- Creare consapevolezza, ovvero far prendere coscienza alle risorse da formare che il problema è presente e continua a evolversi. Il rischio c’è e sarebbe imprudente considerarsi troppo “smart” per poter diventare vittime.
- Offrire esempi pratici per dare un’idea concreta di quali situazioni ci si possa trovare davanti.
- Creare e applicare procedure di sicurezza preventiva, automatiche e/o manuali (ovvero tramite la scansione dei messaggi in accesso e formando i propri dipendenti in modo che sappiano riconoscere intuitivamente le situazioni pericolose e indicare una persona di riferimento in presenza di casi dubbi).
Oltre alla formazione su larga scala, non va dimenticata l’importanza di una “patching strategy”, ovvero una programmazione puntuale dell’aggiornamento degli elementi software e hardware della rete aziendale per “patchare” eventuali vulnerabilità e disinnescare exploit pericolosi.»
