Quali sono le esche che mietono il maggior numero di vittime? Per saperlo i criminali informatici hanno iniziato a sfruttare strumenti tipici del mondo pubblicitario.
Autore: Redazione SecurityOpenLab
Attacchi cyber affinati con strumenti presi in presto dal settore pubblicitario, sfruttamento degli exploit di Office e abuso di Discord e TextBin abusati per ospitare file malevoli. Sono alcune delle innovazioni che hanno caratterizzato gli attacchi cyber da ottobre a dicembre 2023 e sui quali documenta HP nell’ultimo report trimestrale Wolf Security Threat Insights. Tutto rientra in un quadro ben noto di flessibilità e continua diversificazione dell’attività dei criminali informatici per aggirare le difese cyber.
Un esempio su tutti è quello dello sfruttamento di file diversi dai documenti di Office per diffondere malware, a seguito della disattivazione delle Macro da parte di Microsoft. Nel periodo in esame è aumentato dell’11 percento, contro il 4% che si era registrato nel Q1 e nel Q2 2023. Attenzione: l’abuso di Office non è scomparso, viene sfruttato abusando degli exploit invece che delle macro. HP documenta infatti che nel quarto trimestre almeno l'84% dei tentativi di intrusione che coinvolgono fogli di calcolo e il 73% che coinvolgono documenti Word, ha cercato di sfruttare le vulnerabilità nelle applicazioni di Office. L’uso delle macro negli attacchi resta, ma nell’ambito degli attacchi che sfruttano malware a basso costo come Agent Tesla.
Fin qui le novità sono state parziali. Veniamo invece a new entry decisamente originali, come lo sfruttamento di strumenti pubblicitari per analizzare quali esche generano più clic e infettano il maggior numero di utenti. Così facendo gli attaccanti possono perfezionare le campagne per ottenere il massimo impatto, come accaduto con la campagna DarkGate. Non solo, nell’ambito della medesima campagna sono stati sfruttarti strumenti CAPTCHA per impedire alle sandbox di scansionare il malware e bloccare gli attacchi, per fare sì solo gli esseri umani facessero clic.
Passiamo a Discord e TextBin, che sono siti web legittimi per la condivisione di file e testo. Gli attaccanti li hanno sfruttati per ospitare file dannosi, facilitando le chance di successo degli attacchi dato che si tratta di fonti generalmente considerate attendibili e quindi non sempre sottoposte alla scansione anti-malware. A questo proposito è bene sottolineare che sono stati proprio gli archivi il tipo di distribuzione del malware più popolare nel periodo in esame e per il settimo trimestre consecutivo. La percentuale è importante: gli archivi sono sfruttati nel 30% dei malware analizzati da HP.
Scontata è poi la ripartizione dei vettori di minaccia: la più diffusa è la posta elettronica (75%), seguita dai download da browser (13%) e da altri mezzi come le unità USB (12%). Questo riaccende i riflettori – peraltro mai spenti - sulla necessità di formare tutti i dipendenti sui rischi legati al social engineering e sulle best practice per una gestione sicura e consapevole delle email.