I cyber criminali usano comuni tipi di file allegati per rubare le credenziali dell’utente

Barracuda Security Insight è la nuova piattaforma sulla sicurezza lanciata recentemente da Barracuda; fornisce in tempo reale informazioni sui rischi e sulle minacce, per aiutare a creare consapevolezza sui livelli attuali dei rischi. Chiunque abbia un accesso a Internet può utilizzarla per aggiornarsi regolarmente sulle minacce che si aggirano nel web.

Se, ad esempio, gli esperti di Barracuda notano un aumento nel numero di Pdf contenente malware, Barracuda Security Insight segnalerà la minaccia come “allerta critica”, con una descrizione approfondita della minaccia, grazie alla quale gli utenti sanno da cosa doversi guardare.

In questo numero della rubrica Threat Spotlight, Barracuda prende in esame una recente allerta critica segnalata dalla piattaforma Security Insight: il malware cerca di impossessarsi delle password degli utenti utilizzando documenti Word o Excel allegati, spacciati per copie di una dichiarazione dei redditi o altri tipi di documenti ufficiali.

I dettagli

I cybercriminali rilasciano incessantemente vari tipi di malware in funzione dei loro obiettivi, spesso economici. Il ransomware è uno degli strumenti più comuni, ma sequestrare i dati e chiedere un riscatto non è il solo modo per ricavare denaro dalla distribuzione di malware. Le aziende cercano di acquisire il più possibile informazioni sulle abitudini di navigazione dei consumatori ai fini della targetizzazione pubblicitaria e dell’analisi dei dati: ma le informazioni che dovrebbero restare segrete sono ancora più preziose. Esiste un ricco mercato nero di password rubate e per questo il malware capace di carpire queste informazioni può generare ottimi profitti. L’uso esteso di software per l’archiviazione delle password (nei browser ad esempio) e le soluzioni di password management aggravano ulteriormente il problema, dato che nei computer di molti utenti giace un gran numero di password in attesa di essere rubate.

I criminali possono cercare di convincere il destinatario ad aprire un allegato usando un linguaggio perentorio. Il nome dell’allegato , ad esempio “taxletter.doc”, lo fa sembrare qualcosa di importante. Infine, usando un documento Word, il criminale aumenta le probabilità che il file venga aperto, grazie alla familiarità che le persone hanno con questo tipo di file.

Il malintenzionato può anche cercare di far sembrare importante il messaggio e l’allegato affermando che si tratta di un numero d’ordine. In questo caso il file può essere un documento Excel, sempre un tipo di documento con cui la maggior parte degli utenti ha familiarità e che spinge l’utente ad abbassare le difese.

In entrambi i casi se l’utente aprisse i file ci sarebbe un’alta probabilità di sottrazione delle password. Come siamo arrivati fin qui?

L’evoluzione del furto di password

Prima che si diffondessero metodi per la loro archiviazione, la sottrazione di password comportava l’attacco a un utente con un malware in grado di registrare quanto veniva digitato e trasmettere questi dati via Internet a intervalli regolari. Questa tecnica è tuttora utilizzata, ma l’anomalo incremento di traffico generato aumenta la probabilità che il malware venga scoperto prima che sia riuscito a rubare qualche password. Da quando però si usa salvare le password, è sufficiente che il malware riesca a violare il meccanismo di sicurezza che le protegge per riuscire a rubarle tutte in un colpo solo. Questo metodo rende l’individuazione più difficile a livello della rete, dato che c’è solo un picco di traffico da riconoscere prima che le password vengano trasferite.

Indipendentemente dal mezzo utilizzato, una volta che le password sono state sottratte possono essere subito monetizzate, tanto o poco, in funzione di ciò a cui danno accesso. Le password di accesso alle banche online sono ovviamente le più facilmente monetizzabili, dato che il malvivente potrebbe tentare di trasferire fondi sul suo conto, ma anche le password di accesso all’email o ai social media possono avere un valore notevole.

La maggior parte degli account email e social offrono accesso a un certo numero di utenti che possono a loro volta essere oggetto di spam o di attacchi di phishing, senza contare che gli stessi indirizzi potrebbero essere venduti ad altri spammer. Gli account email hackerati sono inoltre spesso usati per altre truffe: il malvivente, ad esempio, può fingere di essere il legittimo proprietario dell’account e scrivere ai suoi contatti dicendo di essere bloccato all’estero e avere bisogno di denaro per tornare a casa. Anche le password di Windows possono essere un obiettivo, non solo per le possibilità di riutilizzo di account in cui la password non è stata salvata, ma anche per conquistare l’accesso alle reti e alle risorse aziendali.

Come avviene in generale per il malware, i ladri di password usano diversi metodi di diffusione, la maggior parte dei quali si basa su email contenenti allegati o URL. Poiché è molto più semplice ed economico individuare gli allegati malevoli sul mail server piuttosto che sul computer dell’utente, i malviventi sfruttano diversi tipi di file e metodi di distribuzione per cercare di aggirare questi sistemi di sicurezza, in particolare i metodi più ingenui come il blocco totale di certi tipi di file. Per aggirare i blocchi file compressi con uno dei molti formati di archiviazione, talvolta usano estensioni fasulle che permettono l’apertura dei file nel formato di archiviazione desiderato.

Un sistema spesso utilizzato consiste nell’impiegare tipi di file fidati per aggirare i controlli a livello del server, e che poi liberano il malware quando l’utente esegue il file. Documenti Word ed Excel contenenti macro che scaricano il codice “rubapassword” sono piuttosto comuni e più difficili da individuare rispetto all’invio del malware puro e semplice. L’inconveniente è che la macro deve essere lanciata dall’utente finale, ma qui intervengono tecniche di social engineering che mirano a convincere l’utente ad agire.

Riassumendo, le tecniche usate in questi attacchi sono:

  • Phishing: i malviventi inviano mail che incoraggiano i destinatari ad aprire allegati contenenti codice malevolo.
  • Impersonation: gli allegati sono presentati come documenti ufficiali, ad esempio legati alla dichiarazione dei redditi
  • Aggiramento delle tecniche di riconoscimento: i cybercriminali usano tipi di file fidati come Word ed Excel per non essere individuati dal server.

Cosa fare

Formazione. Il personale dovrebbe seguire regolarmente sessioni di formazione e sostenere test per accrescere la propria conoscenza dei vari tipi di attacchi mirati. Gli attacchi simulati sono di gran lunga il metodo di formazione più efficace.

La formazione va accompagnata con una soluzione di sicurezza che offra tecniche di sandboxing e di protezione avanzata aiuta a bloccare il malware prima ancora che raggiunga il mail server aziendale. Come forma di protezione aggiuntiva contro i messaggi che contengono link pericolosi è consigliabile adottare una soluzione di protezione antiphishing con funzioni di Link Protection che verificano la presenza di link a siti che contengono codice dannoso. I link ai siti compromessi vengono bloccati, anche se sono nascosti all’interno di un documento.