I cybercriminali per inviare un malware alla potenziale vittima possono usare diverse opzioni: allegarlo ad un’e-mail oppure inserire un link ad un file malevolo. L’hacker può anche inviare un link ad un sito compromesso e chiedere al destinatario di scaricare un file dannoso, camuffandolo come un aggiornamento del software. Si tratta di una tecnica nota come fake downloader.
I ricercatori di Proofpoint hanno individuato recenti campagne hacker di questo tipo che sfruttano SocGholish per compromettere server CMS e condizionare il reindirizzamento del traffico web verso kit di ingegneria sociale.
A giugno e luglio, migliaia di messaggi sono stati inviati ad organizzazioni in Canada, Francia, Germania, Spagna, Italia, Regno Unito e Stati Uniti. In una campagna condotta all’inizio di luglio, Proofpoint ha rilevato quasi 18.000 messaggi che presentavano link a siti web compromessi con inject di SocGholish HTML.
Questi inject analizzano la geolocalizzazione, il sistema operativo e il browser dell’utente. Qualora l’ambiente soddisfi specifiche condizioni, l’utente viene rimandato ad una finta pagina di aggiornamento. Queste pagine usano tecniche di ingegneria sociale per convincere le potenziali vittime a compiere azioni specifiche, come cliccare per scaricare file HTA o JavaScript.
Dopo l’esecuzione, questi script analizzano il sistema, scaricano ed eseguono il malware. L’ultimo individuato include un Trojan bancario (Chthonic) e/o un software di controllo remoto (NetSupport). Chthonic è una variante del Trojan bancario Zeus e NetSupport è un’applicazione legittima di accesso remoto, spesso abusata dagli hacker.
I principali settori colpiti sono l’istruzione, la pubblica amministrazione e il manufatturiero.
Anche se questa tecnica non è nuova, è comunque efficace perché sfrutta le buone raccomandazioni di sicurezza. Tutte queste campagne illustrano che le tattiche degli hacker non devono essere necessariamente nuove per trovare il successo, anche nel panorama delle minacce in rapido cambiamento.
I consigli di Proofpoint:
- Visitare sempre il sito web ufficiale del browser.
- Molti browser offrono degli aggiornamenti automatici.
- Utilizzare soluzioni di sicurezza anti-malware per garantire che i sistemi siano difesi. Le organizzazioni possono avviare attività di formazione sulla sicurezza, per educare i dipendenti sui pericoli dell’ingegneria sociale o sui downloader e dotarsi di difese attraverso posta elettronica e web.
