L’attacco prende di mira gli utenti dei dispositivi mobile attraverso link pubblicati su vari forum e canali di comunicazione

Cybersecurity: l'importanza di una protezione multistrato

All’inizio del mese, Trend Micro ha reso noti i risultati di una ricerca su una campagna di watering hole rivolta agli utenti del sud-est asiatico che utilizzava un potente spyware chiamato LightSpy. In seguito a questa ricerca, il Global Research and Analysis Team di Kaspersky ha condiviso alcuni importanti dettagli aggiuntivi su questo attacco che prende di mira gli utenti dei dispositivi mobile attraverso link pubblicati su vari forum e canali di comunicazione.

Nella ricerca pubblicata su Securelist.com Kaspersky fornisce un’analisi su:

  • La cronologia delle fasi di implementazione del framework di sorveglianza a partire da gennaio 2020
  • Campioni precedentemente sconosciuti di varianti LightSpy per Android
  • Tracce di malware sviluppati per sistemi operativi Windows, Mac, Linux e router basati su Linux
  • Nuovi indicatori di compromissione e altri dettagli sull’attacco

Cosa si sa degli attacchi di LightSpy?

Gli attori che si celano dietro questa campagna distribuiscono link a siti web malevoli che replicano pagine legittime frequentate dalle potenziali vittime. Una volta che la vittima visita il sito web malevolo, una catena di exploit tenta di eseguire del codice shellcode, che porta all’installazione del malware sul telefono della vittima.

Landing page del sito watering hole

Il malware è in grado di compromettere gli iPhone che eseguono versioni di iOS fino alla 12.2. Gli utenti che eseguono l’ultima versione, ovvero iOS 13.4, dovrebbero essere al sicuro da questi exploit. Anche gli utenti di dispositivi basati su sistema operativo Android sono nel mirino di questo attacco. I ricercatori hanno rilevato, infatti, diverse versioni del malware che prendono di mira questa piattaforma. Inoltre, i ricercatori di Kaspersky hanno individuato alcuni elementi che indicano l’esistenza di malware che prendono di mira sistemi Mac, Linux, Windows e persino router che utilizzano sistemi operativi Linux.

Dall’indagine di Kaspersky è, inoltre, emerso che il malware si sta diffondendo attraverso i post e i commenti di alcuni forum e piattaforme di comunicazione più diffuse, attraverso la pubblicazione di link a landing page distribuite. Una volta visitato il sito web, il malware effettua il jailbreak del dispositivo della vittima dando agli attaccanti la possibilità di registrare le chiamate e l’audio, di leggere alcuni messaggi e altro ancora.

Le informazioni attualmente disponibili non consentono di attribuire l’operazione a nessun attore noto di minacce persistenti avanzate (APT), motivo per cui Kaspersky ha temporaneamente soprannominato gli attaccanti “TwoSail Junk”.

“Abbiamo seguito questo particolare framework e infrastruttura a partire da gennaio di quest’anno. Si tratta di un interessante esempio di approccio agile allo sviluppo e all’implementazione di un framework di sorveglianza nel Sud-Est asiatico. Questa strategia innovativa abbiamo già avuto modo di osservarla in precedenza con SpringDragon. La geolocalizzazione mirata di LightSpy rientra nel precedente targeting dell’APT di SpringDragon/LotusBlossom/Billbug, così come l’uso dell’infrastruttura e della backdoor “evora”. Anche se la campagna ha raggiunto il suo apice a febbraio, quando abbiamo visto la crescita più alta del numero di link collegati al sito malevolo, risulta ancora attiva e per questo continuiamo a monitorarla”, ha commentato Alexey Firsh, security researcher del Kaspersky’s Global Research and Analysis Team.

È possibile trovare maggiori informazioni sulla campagna TwoSail Junk su Securelist.com.

Per evitare di cadere nella trappola di water-holing e altri attacchi mirati come questo, Kaspersky raccomanda quanto segue:

  • Evitare di cliccare su link sospetti che promettono contenuti esclusivi, soprattutto se condivisi sui social media. Fare riferimento a fonti ufficiali per informazioni affidabili e legittime.
  • Controllare l’autenticità del sito web. Non visitare i siti web se non si ha la certezza che siano legittimi e inizino con ‘https’. Per confermare l’autenticità del sito web, controllare il formato dell’URL o l’ortografia del nome della società, leggendo le recensioni in merito e verificando i dati di registrazione del dominio.
  • Scegliere una soluzione di sicurezza affidabile come Kaspersky Security Cloud per una protezione personale efficace contro le minacce note e sconosciute.

Per gli utenti aziendali:

  • Assicurarsi che il proprio team di sicurezza abbia accesso alle più recenti informazioni sulle minacce informatiche. I report privati sugli ultimi sviluppi nel panorama delle minacce sono a disposizione dei clienti di Kaspersky APT Intelligence Reporting.