Aziende italiane vittime dei fake downloader

I cybercriminali per inviare un malware alla potenziale vittima possono usare diverse opzioni: allegare il malware ad un’e-mail oppure inserire nel corpo del messaggio un link ad un file malevolo.

L’hacker può anche inviare un link a un sito compromesso e chiedere al destinatario di scaricare un file dannoso, camuffato come un aggiornamento del software. Si tratta di una tecnica nota come fake downloader, non nuova ma efficace. Molto spesso veniamo in contatto con questa forma di attacco quando magari visitiamo un sito web non proprio attendibile e all’improvviso iniziano a comparire i classici banner che invitano a cliccare o scaricare un determinato software. Anche in questo caso si tratta di fake downloader, a danno ovviamente degli utenti.

I ricercatori di Proofpoint hanno individuato recenti campagne hacker di questo tipo che sfruttano SocGholish per compromettere server CMS e condizionare il reindirizzamento del traffico web verso kit di social engineering. Ricordiamo che il social engineering è una tecnica nota per recuperare informazioni sensibili su persone o aziende semplicemente sfruttando la comunicazione diretta con i dipendenti, con lo scopo di guadagnare la loro fiducia ed ottenere così i dati che si desiderano.

fake downloader

A giugno e luglio di questo anno, migliaia di messaggi sono stati inviati ad organizzazioni in Canada, Francia, Germania, Spagna, Italia, Regno Unito e Stati Uniti. In una campagna condotta all’inizio di luglio, Proofpoint ha rilevato quasi 18.000 messaggi di questo tipo. Queste campagne presentavano link a siti web compromessi con inject di SocGholish HTML. Questi inject analizzano la geolocalizzazione, il sistema operativo e il browser usato dall’utente. Qualora l’ambiente soddisfi specifiche condizioni, l’utente viene rimandato ad una finta pagina di aggiornamento del browser. Queste pagine usano tecniche di ingegneria sociale per convincere le potenziali vittime a compiere azioni specifiche, come cliccare per scaricare file HTA o JavaScript. Dopo l’esecuzione questi script analizzano il sistema, scaricano ed eseguono il malware. Il malware individuato include un Trojan bancario (Chthonic) e/o un software di controllo remoto (NetSupport). Chthonic è una variante del Trojan bancario Zeus e NetSupport è un’applicazione legittima di accesso remoto spesso abusata dagli hacker.

I principali settori colpiti sono l’istruzione, la pubblica amministrazione e il manufatturiero. Anche se questa tecnica non è nuova, è comunque efficace perché sfrutta le buone raccomandazioni di sicurezza, difatti mantenere il software aggiornato è un consiglio comune. Queste campagne illustrano che le tattiche degli hacker non devono essere necessariamente nuove per trovare il successo, anche nel panorama delle minacce in rapido cambiamento di oggi.

I consigli di Proofpoint:

  • Visitare sempre il sito web ufficiale del browser per avviare tutti gli aggiornamenti.
  • Molti browser offrono anche aggiornamenti automatici.
  • Utilizzare soluzioni di sicurezza anti-malware per garantire che i sistemi siano difesi. Le organizzazioni possono avviare attività di formazione sulla consapevolezza alla sicurezza per educare i dipendenti sui pericoli dell’ingegneria sociale e sui downloader e dotarsi di difese a più livelli attraverso posta elettronica e web.

Potrebbero interessarti anche...