Un gruppo di ricercatori ha scoperto una nuova minaccia che sembra collegabile ad alcuni famosi gruppi APT (advanced persistent threat) ovvero criminali informatici che solitamente bersagliano vittime e aziende di elevato profilo sferrando attacchi mirati.
Di solito viene preso di mira il sistema utilizzato da un soggetto che lavora all’interno dell’impresa: sfruttando il fatto che tale sistema è collegato alla rete locale dell’azienda da aggredire, esso viene utilizzato per attaccare l’intera infrastruttura, monitorare le attività svolte, sottrarre dati sensibili e danneggiare i dati altrui.
Ne abbiamo parlato, insieme con alcune possibili soluzioni, negli articoli Anatomia di un attacco informatico meno tradizionale: dispositivi che possono rappresentare una minaccia e Sicurezza in azienda: le migliori soluzioni per la protezione degli endpoint.
La presenza di macro all’interno di documenti Office dovrebbe fare immediatamente drizzare le antenne: i vari componenti della suite per l’ufficio Microsoft attivano la cosiddetta Visualizzazione protetta per i file che provengono dalla rete Internet (Allegati pericolosi e malware nei documenti Office: come inizia l’infezione) e segnalano l’eventuale presenza di macro.
Le macro possono essere potenzialmente molto pericolose perché utilizzando una serie di istruzioni integrate all’interno del documento si può richiedere l’effettuazione in automatico di una serie di attività, compresi il download e l’esecuzione di codice pubblicato altrove.
Nonostante la loro pericolosità, ancora oggi sono in tanti a cadere nel tranello e ad acconsentire all’esecuzione di macro potenzialmente pericolose inserite ad esempio in un documento Word o in un foglio elettronico Excel. Gli aggressori sono infatti soliti porre in essere campagne spear phishing presentando il file dannoso come qualcosa che non è ovvero un elemento che la vittima potrebbe aspettarsi di ricevere.
Uno dei ricercatori che hanno scoperto la nuova minaccia spiega su Twitter che la macro nociva si collega con GitHub e scarica ulteriore codice.
Con il preciso scopo di eludere le verifiche condotte dalle principali soluzioni antimalware, lo script PowerShell si collega con il noto servizio per la condivisione di immagini Imgur e scarica un file in formato PNG.
Utilizzando la tecnica della steganografia, all’interno del file PNG gli aggressori inseriscono il payload del malware vero e proprio. ll codice PowerShell non fa altro che leggere in sequenza i byte aggiunti in varie parti dell’immagine PNG e ricostruiscono i comandi da eseguire.
A questo punto l’attacco vero e proprio può iniziare con un approccio fileless che – come spiegato nell’articolo Rimozione malware: come accorgersi della presenza di minacce fileless – in molti casi resta quasi invisibile ai “radar” di molte soluzioni per la sicurezza.
Di recente avevamo menzionato l’utilizzo di batch offuscati da parte di alcuni malware writer: Scoperta una tecnica che permette di offuscare codice malware usando i file batch.