L’exploit viene inviato tramite email di spear-phishing con allegato un documento infetto

security

Il Global Research and Analysis Team di Kaspersky Lab ha scoperto alcuni attacchi che sembrano usare un exploit zero-day (un programma dannoso che consente a ulteriori malware di essere installati senza che vengano notati) per l’editor di testo InPage. InPage è un pacchetto software usato da persone e organizzazioni in tutto il mondo che parlano urdu e arabo. L’exploit è stato usato in attacchi contro le banche in diversi Paesi asiatici e africani.

InPage è ampiamente usato dai media e dai centri stampa, così come dalle istituzioni governative e finanziarie, come le banche che lavorano con testi scritti in alfabeto perso-arabico. Secondo il sito di InPage, oltre a India e Pakistan, dove il software è molto utilizzato, ci sono migliaia di utenti in altri Paesi quali Regno Unito, Stati Uniti, Canada, numerosi Paesi in Europa, Sudafrica, Bangladesh, Giappone e altri territori. Il numero totale di utenti InPage è quasi di 2 milioni a livello mondiale.

Le organizzazioni attaccate identificate dai ricercatori di Kaspersky Lab si trovano in Myanmar, Sri-Lanka e Uganda.

L’exploit viene inviato alla vittima tramite email di spear-phishing con allegato un documento infetto. Se lo sfruttamento della vulnerabilità ha successo, il malware si mette in contatto con il server di comando e controllo e scarica tool legittimi di accesso da remoto. In alcuni casi scarica malware basati sul codice sorgente del famigerato trojan bancario ZeuS. Questo set di strumenti è tipico dei cyber criminali finanziari.

Lo specifico set di tool nocivi scaricati sulla macchina infettata cambia da vittima a vittima, così come i server di comando e controllo da cui vengono scaricati i tool dannosi. Questa e numerose altre scoperte hanno portato i ricercatori di Kaspersky Lab a ritenere che lo zero-day venga utilizzato da diversi gruppi criminali.

Zero-day localizzati

Non è la prima volta che vediamo software “locali” specifici usati per infettare le vittime durante cyber attacchi. Nel 2013, i ricercatori di Kaspersky Lab hanno osservato tattiche simili negli attacchi attribuiti alla campagna Icefog. In quell’occasione, gli hacker hanno usato documenti HWP dannosi creati per lavorare con Hangul Word Processor, un’applicazione proprietaria di elaborazione di testi molto usata in Corea del Sud.

I ricercatori di Kaspersky Lab non sono ancora a conoscenza di effettivi incidenti che coinvolgono il furto di denaro come risultato di un’infezione attraverso l’exploit InPage. Tuttavia, questo non significa che tali attacchi non stiano accadendo. Perciò, gli specialisti di sicurezza suggeriscono alle organizzazioni finanziarie di controllare i propri sistemi alla ricerca di queste minacce e di implementare le seguenti contromisure:

  • Assicurarsi di avere una suite di sicurezza Internet a livello aziendale in grado di bloccare gli exploit.
  • Informare lo staff dell’importanza di non aprire allegati o cliccare su URL contenuti in email provenienti da fonti sconosciute.
  • Usare le versioni più recenti dei software installati sui dispositivi endpoint dell’azienda. Evitare di utilizzare software riconosciuti come vulnerabili. Per automatizzare queste operazioni usare soluzioni di Vulnerability Assessment e Patch Management.
  • Iscriversi a un servizio professionale di intelligence sulle minacce per avere accesso immediato a informazioni operative sui più recenti cyber attacchi che potrebbero prendere di mira un’azienda.
  • Formare lo staff sulle tematiche della cyber sicurezza. Il campione di malware che ha permesso la scoperta dell’exploit è stato trovato grazie all’aiuto di Yara Rules appositamente create. È necessario investire nella formazione dello staff di sicurezza in modo che siano in grado di fare altrettanto in autonomia e, di conseguenza, di proteggere l’azienda da sofisticati attacchi mirati.