Tra le opzioni che i cybercriminali possono utilizzare per inviare un malware alla potenziale vittima troviamo quelle di allegare il malware ad un’e-mail, oppure inserire nel corpo del messaggio un link ad un file malevolo. L’hacker può anche inviare un link a un sito compromesso e chiedere al destinatario di scaricare un file dannoso, camuffandolo come un aggiornamento del software. Si tratta di una tecnica nota come fake downloader, non nuova ma efficace.
I ricercatori di Proofpoint hanno individuato recenti campagne hacker di questo tipo che sfruttano SocGholish per compromettere server CMS e condizionare il reindirizzamento del traffico web verso kit di ingegneria sociale.
Tra giugno e luglio di questo anno, migliaia di messaggi sono stati inviati ad organizzazioni in Canada, Francia, Germania, Spagna, Italia, Regno Unito e Stati Uniti. Queste campagne presentavano link a siti web compromessi con inject di SocGholish HTML. In una campagna condotta all’inizio di luglio, sono stati rilevati quasi 18.000 messaggi di questo tipo.
Questi inject analizzano la geolocalizzazione, il sistema operativo e il browser usato dall’utente. Qualora l’ambiente soddisfi specifiche condizioni, l’utente viene rimandato ad una finta pagina di aggiornamento del browser. Queste pagine usano tecniche di ingegneria sociale per convincere le potenziali vittime a compiere azioni specifiche, come cliccare per scaricare file HTA o JavaScript.
Dopo l’esecuzione questi script analizzano il sistema, scaricano ed eseguono il malware. Il malware individuato include un Trojan bancario (Chthonic) e/o un software di controllo remoto (NetSupport). Chthonic è una variante del Trojan bancario Zeus e NetSupport è un’applicazione legittima di accesso remoto spesso abusata dagli hacker.
I principali settori colpiti sono l’istruzione, la pubblica amministrazione e il manifatturiero.
Anche se questa tecnica non è nuova, è comunque efficace perché sfrutta le buone raccomandazioni di sicurezza, difatti mantenere il software aggiornato è un consiglio comune. Queste campagne dimostrano che le tattiche degli hacker non devono essere necessariamente nuove per portare un attacco a buon fine.
Suggerimenti da tenere sempre a mente:
- Visitare sempre il sito web ufficiale del browser per avviare tutti gli aggiornamenti.
- Molti browser offrono anche aggiornamenti automatici, è possibile effettuare questa scelta.
- Utilizzare soluzioni di sicurezza anti-malware per garantire che i sistemi siano difesi.
Infine, oltre a dotarsi di difese a più livelli attraverso posta elettronica e web, è consigliabile per le organizzazioni avviare attività di formazione sulla consapevolezza alla sicurezza informatica, in modo da rendere più consapevoli i dipendenti in particolar modo sui pericoli dell’ingegneria sociale e sui downloader.
https://udite-udite.it/2020/07/proofpoint-aziende-italiane-colpite-dai-fake-downloader/
