La prima e più pericolosa minaccia nel campo della cybersecurity è costituita da utenti disattenti, o non adeguatamente istruiti, presi di mira dagli hacker che cercano di trarre profitto da comportamenti poco consoni dentro e fuori il posto di lavoro.
Tornano a evidenziarlo gli esperti di Barracuda Networks secondo cui, i malviventi usano una varietà di tecniche nel tentativo di lanciare un trojan Quant Loader capace di distribuire ransomware e software per la sottrazione di password.
Nel mondo dell’email, un’estensione di file non familiare – soprattutto se compressa in un file ZIP – è quasi sempre il segnale di una nuova epidemia di malware. La regola vale nel nostro caso: shortcut internet Microsoft zippati con estensione “.url” che hanno iniziato a diffondersi il mese scorso fingendo di essere documenti amministrativi.
Questi shortcut usano una variante del proof-of-concept CVE-2016-3353 e contengono link a file JavaScript (recentemente anche file Windows Script). In questo caso però l’url è preceduto dal prefisso “file://” anziché da “http://”, che instrada la richiesta via Samba anziché tramite il browser.
Ciò ha il vantaggio di fare eseguire il codice contenuto usando WScript con il profilo utente corrente anziché usando il browser, sebbene prima induca l’utente a farlo. Gli script remoti sono pesantemente offuscati ma alla fine, quando vengono eseguiti, il risultato è il download e il lancio di Quant Loader.
Quant Loader è un trojan che tipicamente distribuisce malware come ransomware e “ladri di password”. È venduto nel dark web e permette all’utente di configurare i payload a infezione avvenuta usando un pannello di controllo. Il malware configurabile come questo che si trova oggi in vendita è sempre più diffuso e permette di separare lo sviluppo del malware dalla sua distribuzione.
La campagna è stata composta da molte mini campagne, ciascuna della durata di meno di un giorno. Gli autori utilizzano un qualche contenuto e un filename (alcune mail non hanno contenuto ma solo l’oggetto), un dominio che distribuisce gli script attraverso Samba e una variante di Quant che viene distribuita da un gruppo di domini.
Le condivisioni Samba, mentre sono attive, sono accessibili pubblicamente. È interessante notare che il tentativo di accedere all’URL via http ha portato a volte a un reindirizzamento che provocava il download di un generatore casuale di chiavi, fortunatamente sono riconosciute pericolose dalla maggior parte dei software antivirus. In base alle analisi di Barracuda, le mini campagne non sono state lanciate tutti i giorni, ma comunque numerose volte tra marzo e aprile.
Per quanto i malviventi siano alla continua ricerca di nuovi approcci per forzare l’utente a infettarsi, questi possono essere facilmente individuati da chi ha qualche conoscenza in tema di sicurezza.
Evitare di agire su formati di file sconosciuti che compaiono nelle mail è sempre un buon punto di partenza, come pure non lanciare script ricevuti per email. Molti tentativi si basano su tecniche di social engineering e sono mirate a utenti che non hanno ricevuto formazione o poco attenti. Gli exploit più sofisticati sono in genere più facili da individuare delle tecniche che si basano sull’interazione dell’utente, ma richiedono risorse significative per il loro utilizzo, oltre a essere periodicamente disinnescati dalle patch rilasciate dai fornitori di software.
Inoltre, affiancare alla formazione degli utenti una soluzione di sicurezza che offra funzioni di sandboxing e di protezione avanzata aiuta a bloccare il malware prima ancora che raggiunga il mail server aziendale. Per proteggersi dai messaggi che contengono link pericolosi è possibile adottare una soluzione antiphishing con funzioni di Link Protection in grado di riconoscere i link a siti web che contengono codice malevolo. I link ai siti compromessi vengono automaticamente bloccati, anche se nascosti all’interno di un documento.
