Allarme SmugX: ambasciate europee sotto attacco malware

Grazie all’instancabile lavoro di Check Point Research è stato individuato un pericoloso malware, denominato SmugX.

L’agente malevolo, presentato per la prima volta in un rapporto lo scorso 3 luglio, ha come particolarità quella di prendere di mira ambasciate ed entità politiche locali nel contesto europeo.

Al momento attuale, a subire attacchi da parte di SmugX sono stati principalmente paesi dell’est, come Slovacchia, Repubblica Ceca e Ungheria. Secondo gli esperti, dietro questo attacco vi sarebbe un gruppo di hacker cinesi, in qualche modo collegati con Mustang Panda e RedDelta (altre gang di cybercriminali del paese asiatico).

Per quanto riguarda il metodo di attacco, la ricerca ha rivelato che con SmugX gli aggressori utilizzano dei documenti HTML, all’interno dei quali è stato individuato anche un malware modulare noto come PluxX.

La combinazione di più tecniche ha reso SmugX “invisibile” per diversi mesi

La tecnica, nota in gergo tecnico come HTML smuggling, è in grado di ingannare i sistemi di sicurezza ed eludere i meccanismi antivirus. Tale pratica sfrutta le funzionalità tipiche dei file HTML per nascondere dati dannosi come JavaScript.

Il modus operandi adottato nella campagna SmugX, va detto, non è una novità in questo contesto. Già nel 2020, un attacco simile ha visto come obiettivo il Vaticano e, negli anni seguenti, sono stati diversi i paesi coinvolti in offensive simili.

I ricercatori di Check Point Research concordano sul fatto che l’obiettivo primario di SmugX è ottenere dati sensibili sulle politiche estere dei paesi presi di mira. Questa analisi si basa su alcuni campioni-esca pubblicati nel repository di malware su VirusTotal.

A rendere tutto molto più inquietante, vi è il fatto che SmugX sarebbe attivo da dicembre 2022. Secondo i ricercatori “Sebbene nessuna delle tecniche osservate in questa campagna sia nuova o unica, la combinazione delle diverse tattiche e la varietà di catene di infezione che si traducono in bassi tassi di rilevamento, ha consentito agli attori della minaccia di rimanere non individuati per un bel po‘”.

A quanto pare, questo tipo di minaccia non sarebbe concreta per gli utenti comuni. In ogni caso, l’utilizzo di un antivirus di livello e di ulteriori precauzioni può essere consigliabile.